La pandemia modificó completamente el panorama de las amenazas por correo electrónico. La fuga masiva hacia el home office y la transferencia inevitable de gran parte de las comunicaciones al formato online generó un aumento tanto del phishing como de los ataques BEC. El flujo constante de mensajería comercial hace que para los ciberdelincuentes sea mucho más sencillo ocultar sus correos electrónicos entre la pila de mensajes legítimos, por lo que imitar la correspondencia comercial se ha convertido en un vector de ataque muy relevante. También han nacido muchos otros trucos de ingeniería social, como las notificaciones que piden a la víctima a responder a un mail cuanto antes. Estas son las tendencias principales que observamos durante 2022:
- El aumento en los envíos de spam con contenido malicioso para infectar la computadora de la víctima.
- El uso activo de técnicas de ingeniería social en correos electrónicos maliciosos más típicos del spear phishing (como agregar firmas para simular departamentos específicos, utilizar léxico comercial y contexto apropiado para la empresa objetivo, aprovechar eventos del momento, referirse a empleados reales de la empresa, y más).
- La expansión del spoofing: el uso de direcciones de correo electrónico con nombres de dominio parecidos a los organizaciones objetivo reales (solo difieren en un par de caracteres).
Como resultado, quienes crean spam malicioso logran disfrazarlo de mensajes internos o correspondencia comercial entre empresas e, incluso, como notificaciones de agencias gubernamentales. Aquí algunos de los ejemplos más ilustrativos que vimos durante este año:
El malware en correos electrónicos
La principal tendencia de este año fue el envío de correos maliciosos disfrazados de correspondencia comercial. Para que el destinatario abra un archivo adjunto o descargue un archivo en un enlace, los ciberdelincuentes tratan de convencerlo de que el correo electrónico tiene información comercial importante, como una oferta o la factura por la entrega de algún producto. Usualmente, el malware se coloca en un archivo cifrado, cuya contraseña se proporciona en el cuerpo del mensaje.
Por ejemplo, durante todo el año vimos lo siguiente: los atacantes obtenían acceso a correspondencia comercial genuina (quizá robándola de computadoras previamente infectadas) y mandaban correos nuevos a todos los participantes con archivos o enlaces maliciosos. En otras palabras, desarrollaron la conversación de forma plausible. Esta artimaña hace que sea más difícil detectar los correos electrónicos maliciosos y crezca la posibilidad de que alguien muerda el anzuelo.
En la mayoría de los casos, al abrir el documento malicioso, el troyano Qbot o Emotet era cargado. Ambos pueden robar datos de usuarios, recopilar información en una red corporativa y distribuir otro malware como ransomware. Además, Qbot puede usarse para acceder al correo electrónico y robar mensajes; o sea, es una fuente de correspondencia para ataques futuros.
Conforme llega el fin de año, las estrategias de los correos electrónicos maliciosos resultan cada vez más ingeniosas. Por ejemplo, a principios de diciembre, los estafadores que se hacían pasar por una organización benéfica pedían a las víctimas que se deshicieran de sus antiguos equipos. Claro que, para ello, las empresas debían descargar un archivo que supuestamente contenía la lista de dispositivos aceptados. En realidad, el archivo adjunto era un archivo protegido con contraseña con un ejecutable malicioso oculto.
En otra campaña de correo electrónico, los atacantes mandaron decenas de miles de archivos que contenían un troyano de puerta trasera que permitía el control remoto de la computadora infectada, bajo la apariencia de facturas. Lo más interesante es que el archivo adjunto tenía extensiones como .r00, .r01, etc. Es probable que sus creadores quisieran hacer pasar el archivo adjunto como parte de un gran archivo RAR en un intento de eludir los sistemas de protección automática configurados para ciertas extensiones de archivo.
Falsas notificaciones gubernamentales
Los mail que imitan notificaciones oficiales de los ministerios y otros departamentos gubernamentales han sido muy frecuentes este año. Esta tendencia resaltó principalmente en el sector de habla rusa de internet. Los correos electrónicos de este tipo se adaptan al perfil de la organización en específico, por lo que, por lo general, la dirección del remitente se parece al dominio real del departamento y el archivo adjunto malicioso suele tener un título importante, como “Comentarios sobre los resultados de la reunión”. Uno de esos archivos adjuntos contiene un código malicioso para explotar una vulnerabilidad en el Editor de ecuaciones, un componente de Microsoft Office.
Aprovechar las tendencias del momento
En el sector de internet de habla rusa, igual vimos un aumento en la actividad del correo electrónico malicioso según las temporalidades vigentes. Por ejemplo, en octubre, los ciberdelincuentes distribuyeron malware bajo la apariencia de órdenes de convocatoria, aprovechando la “movilización parcial” de Rusia. Los correos electrónicos citaban el Código Penal Ruso, usaban el escudo y el estilo del Ministerio de Defensa y pedían al destinatario que descargara la orden mediante un enlace que dirigía a un archivo con un script que creaba un archivo ejecutable.
Además, registramos un correo electrónico que simulaba provenir de las fuerzas del orden rusas. El mensaje invitaba a la víctima a descargar una “nueva solución” para protegerse contra las amenazas online de organizaciones “hostiles”. No obstante, la realidad era que el programa que se instalaba la computadora era un troyano ransomware.
Cómo protegerse
Cada años las estrategias de los ciberdelincuentes se vuelven más sofisticadas y los métodos para imitar la correspondencia comercial, más convincentes. Entonces, para proteger la infraestructura corporativa ante los ataques de correo electrónico, hay que poner atención a las medidas organizativas además de las técnicas. O sea, además de contar con soluciones de seguridad tanto en el nivel del servidor de correo corporativo como en los dispositivos conectados a Internet, recomendamos impartir de forma regular formaciones en materia de ciberseguridad para empleados