Por: Tom Burt, vicepresidente corporativo de seguridad y confianza para clientes.
Hoy, el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia, abrió los documentos que detallan la labor de Microsoft para interrumpir a los ciberdelincuentes que aprovechaban la pandemia de COVID-19 en un intento de defraudar a clientes en 62 países alrededor del mundo. Nuestro caso civil ha resultado en una orden de la corte que permite a Microsoft tomar el control de dominios clave en la infraestructura de los criminales, para que no puedan volver a ser utilizados para realizar ciberataques.
La Unidad de Crímenes Digitales (DCU, por sus siglas en inglés) de Microsoft observó por primera vez a estos criminales en diciembre de 2019, cuando desplegaron un nuevo y sofisticado esquema de phishing, diseñado para comprometer cuentas de clientes de Microsoft. Los criminales intentaron obtener acceso al email, listas de contactos, documentos sensibles y otra información valiosa del cliente. Con base en los patrones descubiertos en ese momento, Microsoft utilizó medios técnicos para bloquear la actividad de los criminales y deshabilitar la aplicación maliciosa utilizada en el ataque. De manera reciente, Microsoft observó intentos renovados de parte de los mismos criminales, esta vez con señuelos relacionados con COVID-19 en los emails de phishing para atacar a las víctimas.
Esta actividad maliciosa es otra forma de ataque para poner en riesgo el email de negocios (BEC, por sus siglas en inglés), que ha crecido en complejidad, sofisticación y frecuencia en los años recientes. De acuerdo con el Reporte de Crimen en Internet 2019 del FBI, las quejas más costosas recibidas por el Centro de Quejas por Crímenes en Internet (IC3) involucraron crímenes BEC, con pérdidas por más de $1.7 mil millones de dólares, que representan casi la mitad de todas las pérdidas financieras debidas al cibercrimen. Mientras que la mayor parte de la atención del público en los años recientes se ha enfocado, de manera justificada, en los actos malignos de los actores de naciones estado, el creciente daño económico causado por los cibercriminales también debe ser considerado y confrontado por los sectores público y privado. Por nuestra parte, Microsoft y nuestra Unidad de Crímenes Digitales continuarán con la investigación y disrupción de cibercriminales y buscaremos trabajar con las agencias de la ley alrededor del mundo, cuando sea posible, para detener estos crímenes.
Estos cibercriminales diseñaron sus emails de phishing para que parecieran creados por un empleador u otra fuente confiable, y se enfocaron de manera frecuente en líderes de negocios a través de diferentes industrias, con la intención de comprometer cuentas, robar información y redirigir transferencias electrónicas. Cuando el grupo comenzó a llevar a cabo por primera vez este esquema, los emails de phishing contenían mensajes engañosos asociados con actividades genéricas de negocios. Por ejemplo, la liga maliciosa en el email estaba titulada con términos de negocios como “Reporte Q4 – Dic19”, como se ve a continuación.
Sin embargo, con estos esfuerzos recientes, los emails de phishing contenían en su lugar mensajes referentes a COVID-19, como un medio para explotar las preocupaciones financieras relacionadas con la pandemia e inducir a las víctimas objetivo a dar clic en ligas maliciosas. Por ejemplo, con términos como “Bono COVID-19”, visto aquí.
Una vez que las víctimas dieron clic en las ligas engañosas, se les pidió otorgar permisos de acceso a una aplicación web maliciosa (web app). Las web app tienen un aspecto familiar, ya que se utilizan de manera amplia en las organizaciones para impulsar la productividad, crear eficiencias e incrementar la seguridad en una red distribuida. Desconocidas para las víctimas, estas web apps maliciosas eran controladas por los criminales, quienes, con permisos obtenidos de manera fraudulenta, podían acceder a la cuenta Microsoft Office 365 de la víctima. Este esquema permitía acceso no autorizado sin necesidad explícita de que la víctima diera sus credenciales de inicio de sesión de manera directa a un sitio web falso o a una interfaz similar, como lo harían en una campaña de phishing más tradicional.
Después de dar clic en el mensaje de consentimiento para la web app maliciosa (mostrada abajo), la víctima concedía a los criminales, de manera involuntaria, acceso y control de los contenidos de la cuenta Office 365 de la víctima, incluidos email, contactos, notas y material almacenado en el espacio de almacenamiento de nube OneDrive for Business de las víctimas y al sistema de almacenamiento y gestión de documentos corporativos de SharePoint.
Microsoft toma muchas medidas para monitorear y bloquear web apps maliciosas, con base en telemetría que indica un comportamiento atípico y ha continuado con las mejoras de nuestras protecciones con base en esta actividad. En casos donde los criminales, de manera repentina y masiva, escalaron su actividad y se movieron con rapidez para adaptar sus técnicas para evadir los mecanismos de defensa integrados de Microsoft, son necesarias medidas adicionales, como la acción legal presentada en este caso. Este caso civil único contra ataques BEC con temática de COVID-19, nos ha permitido deshabilitar, de manera proactiva, dominios clave que son parte de la infraestructura maliciosa de los criminales, lo que es un paso importante para proteger a nuestros clientes.
Como hemos observado, los cibercriminales han adaptado sus señuelos para aprovecharse de los eventos actuales, con temáticas relacionadas a COVID-19 para engañar a las víctimas. Aunque hayan cambiado los señuelos, las amenazas subyacentes se mantienen, evolucionan y crecen, y es más importante que nunca mantenerse vigilantes contra los ciberataques.
Para protegerse aún más contra las campañas de phishing, incluido BEC, recomendamos, primero, que habiliten la autenticación de dos factores en todas las cuentas de email personales y de negocios. Segundo, aprendan cómo detectar esquemas de phishing y protéjanse de ellos. Tercero, habiliten alertas de seguridad sobre ligas y archivos de sitios web sospechosos y revisen con cuidado sus reglas de reenvío de email para cualquier actividad sospechosa. Los negocios pueden aprender más sobre cómo reconocer y remediar estos tipos de ataques y también dar estos pasos para incrementar la seguridad de sus organizaciones.