La compañía ha logrado tomar el control de los nombres de dominio utilizados por los ciberdelincuentes en sus ataques, que aprovechaban la pandemia como reclamo para intentar estafar a clientes en 62 países de todo el mundo.
Los ataques de phishing dirigidos a comprometer laseguridad de las empresas son los que mayor impacto económico representan, conuna cifra que alcanza los 1.700 millones de dólares, según un reciente estudiodel FBI.
El Tribunal del Distrito Este de Virginia (EE.UU) ha recibido el escrito de Microsoft contra los ciberdelincuentes que se aprovechan de la pandemia de Covid-19 para intentar estafar a clientes de 62 países de todo el mundo. Tras el análisis del caso, el Tribunal ha dictado una orden judicial que permite a Microsoft tomar el control de los nombres de dominio utilizados por los delincuentes para desarticularlos y así impedir los ataques.
La Unidad de Crímenes Digitales de Microsoft (DCU) detectópor primera vez a estos delincuentes en diciembre de 2019, cuando desplegaronun nuevo y sofisticado esquema de phishing diseñado para comprometer lascuentas de los clientes de la compañía. Los delincuentes intentaron obteneracceso al correo electrónico de los clientes, a sus contactos, a documentosconfidenciales y demás información valiosa.
Basándose en los patrones descubiertos en ese momento,Microsoft utilizó medios técnicos para bloquear la actividad de losciberdelincuentes y desactivar la aplicación maliciosa utilizada en el ataque.Recientemente, la compañía había observado nuevos intentos de los mismosdelincuentes, esta vez utilizando señuelos relacionados con el Covid-19 en loscorreos electrónicos de phishing para dirigirse a las víctimas.
Ciberataques con una complejidad y sofisticación creciente
Esta actividad maliciosa es una forma de ataque de phishingcontra las empresas (Business Email Compromise o BEC), que ha aumentado encomplejidad, sofisticación y frecuencia en los últimos años. Según el Informesobre delitos en Internet de 2019 del FBI, los casos con un mayor impactoeconómico recibidos por su Centro de Denuncias de Delitos en Internet (IC3) se refierena delitos tipo BEC, con pérdidas de más de 1.700 millones de dólares, lo querepresenta casi la mitad de todas las pérdidas financieras debidas a losdelitos cibernéticos.
Si bien gran parte de la atención del público en los últimosaños se ha centrado en los actos maliciosos llevados a cabo por grupos alservicio de naciones o estados, que buscan perjudicar o tener acceso a lasinfraestructuras críticas de otros países, el creciente daño económico causadopor los cibercriminales ha dado lugar a que tanto el sector público como elprivado se unan para frenar los ataques.
Microsoft y su Unidad de Crímenes Digitales continúaninvestigando y persiguiendo a los ciberdelincuentes, en colaboración directacon las fuerzas y cuerpos de seguridad en todo el mundo, con el fin de lucharcontra estos delitos.
Correos electrónicos de phishing basados en la temática de negocio
En sus últimas campañas, los ciberdelincuentes diseñabancorreos electrónicos de phishing de modo que parecían originados por unempleado u otra fuente de confianza y, con frecuencia, se dirigían a losdirectivos de empresas de diversas industrias, intentando comprometer cuentas,robar información y redirigir las transferencias electrónicas. Cuando el grupocomenzó a llevar a cabo este plan, los correos electrónicos de phishingcontenían mensajes engañosos asociados con actividades comerciales genéricas.Por ejemplo, el enlace malicioso del correo electrónico se titulaba "Q4Report - Dec19".
Recientemente, los ciberdelincuentes cambiaron su estrategiautilizando mensajes relativos al Covid-19, con el fin de aprovecharse de laspreocupaciones financieras relacionadas con la pandemia e inducir a lasvíctimas seleccionadas a hacer clic en enlaces maliciosos. Por ejemplo, usandotérminos como "Bono de Covid-19".
Una vez que las víctimas abrían los enlaces engañosos, seles pedía que concedieran permisos de acceso a una aplicación web maliciosa(web apps) con un aspecto muy familiar, utilizado con frecuencia en lasorganizaciones para impulsar la productividad. Sin que la víctima lo supiera,estas aplicaciones web maliciosas eran controladas por los delincuentes,quienes, con un permiso obtenido de forma fraudulenta, podían acceder a la cuentade Microsoft Office 365 de la víctima.
Después de hacer clic en la ventana de consentimiento de laaplicación web maliciosa, los delincuentes accedían a la cuenta de Office 365de la víctima, incluido el correo electrónico, los contactos, las notas y elmaterial almacenado en la nube de OneDrive for Business y en el sistema degestión y almacenamiento de documentos de SharePoint de la empresa.
Microsoft toma medidas para bloquear las aplicaciones webmaliciosas mediante telemetría, que le ayuda a detectar comportamientosatípicos y a mejorar la protección. Cuando los delincuentes actúan de formarepentina y masiva, y realizan cambios rápidos en su estrategia para evadir losmecanismos de protección, además de las medidas técnicas, son necesariasacciones adicionales, como la iniciativa judicial presentada en este caso.
Esta acción civil contra los ataques de BEC con temática deCovid-19 ha permitido a Microsoft desactivar de forma proactiva los nombres dedominio que forman parte de la infraestructura maliciosa de los delincuentes,lo que constituye un paso fundamental para proteger a los clientes.
Nuevas medidas para reforzar la seguridad de los usuarios
Los ciberdelincuentes se han ido adaptando a losacontecimientos actuales. Aunque los señuelos utilizados vayan cambiando, lasamenazas subyacentes permanecen, evolucionan y crecen, y es más importante quenunca permanecer vigilantes contra los ciberataques.
Para protegerse aún más contra las campañas de phishing,incluido el BEC, Microsoft recomienda la habilitación de la autentificación dedoble factor en todas las cuentas de correo electrónico empresariales ypersonales. En segundo lugar, es necesario aprender a detectar los esquemas de phishingy a protegerse de ellos. Por último, también resulta clave habilitar lasalertas de seguridad sobre enlaces de sitios web y archivos sospechosos, asícomo comprobar cuidadosamente las reglas de reenvío de correo electrónico paradetectar cualquier actividad sospechosa. Las empresas pueden aprender areconocer y remediar este tipo de ataques, y también tomar estas medidas paraaumentar la seguridad de sus organizaciones.