Una nueva campaña se dirige a infraestructuras críticas con fraude de correo electrónico
El actor de amenazas comprometió cinco cuentas de correo electrónico de proveedores diferentes y entregó ataques de correo electrónico a 15 personas en cinco organizaciones de clientes.
Un solo actor de amenazas ha podido comprometer cinco cuentas de correo electrónico de proveedores diferentes. A través de ellas, se enviaron ataques de fraude de email de facturas a 15 personas en cinco organizaciones de clientes, todas en el espacio de infraestructuras críticas. Estos incluyeron dos compañías de atención médica, dos de logística y una de fabricación, según Abnormal Security.
Casi todos los correos enviados por las cuentas comprometidas usaban el mismo idioma y formato. Y, aunque presentaban errores gramaticales, también contaban con varias características que los hacían parecer legítimos, lo que permitió eludir las defensas tradicionales.
La campaña es un ejemplo de compromiso de correo electrónico del proveedor (VEC, de sus siglas inglesas). Igual que el compromiso de correo electrónico empresarial (BEC), esta es una amenaza sofisticada y peligrosa que continúa creciendo. Mientras que los ataques BEC suelen hacerse pasar por personas de confianza dentro de la propia empresa de la víctima, los incidentes VEC se hacen pasar por personas de una organización de proveedores de confianza. Ya sea a través de una cuenta falsificada o comprometida, utilizan tácticas de ingeniería social para convencer a su víctima de que tome medidas, generalmente relacionadas con las finanzas. En este caso, Abnormal bloqueó los correos fraudulentos para sus clientes, pero es posible que las cuentas comprometidas se hayan utilizado con éxito en otros sitios.
Los ataques VEC a menudo están muy dirigidos, suplantando y secuestrando a un proveedor específico en busca de un pago masivo. Sin embargo, algunos ataques pueden repetir un cierto esquema a través de múltiples proveedores, creando un efecto de bola de nieve en una amplia red de víctimas, como ha sido el caso de esta campaña.
Dominio conocido, contenido e idioma creíbles
El atacante comprometió cuentas de correo electrónico de proveedores pertenecientes a personas con funciones de contabilidad y operaciones en empresas, enviando correos que intentaban redirigir facturas pendientes y futuras a una nueva cuenta bancaria. “Cada uno incluía un archivo PDF que describía la nueva y falsa política de pago y proporcionaba los detalles actualizados de la cuenta bancaria”, dice Abnormal.
La táctica de disfraz más efectiva fue el uso por parte del atacante de un dominio conocido, una característica clave de los ataques VEC, escribió Abnormal. Como los correos electrónicos se enviaron desde cuentas de proveedores comprometidas, la dirección de correo electrónico y el dominio del remitente aparecían normales para los destinatarios. El atacante también usó contenido y lenguaje que las víctimas podrían esperar de las conversaciones con sus proveedores. "Estos dos factores juntos harían que pareciera que nada fuera de lo común, lo que aumenta la probabilidad de que los objetivos puedan, sin saberlo, interactuar con el actor de la amenaza".
A pesar de las aparentes precisiones legítimas, algunas anomalías podrían haber señalado un posible ataque, señaló Abnormal. Por ejemplo, un análisis del proceso de lenguaje natural (NLP) destacó varios casos de lenguaje relacionado con solicitudes financieras y actualizaciones de cuentas de facturación, y especialmente relacionado con el desvío de pagos, que comúnmente se asocia con el fraude de facturas, dijo la firma. “Otro indicador del comportamiento anómalo de los usuarios fue la ausencia de correspondencia previa entre los remitentes y los destinatarios”. Sin embargo, estas señales de ataque probablemente sortearían un ojo humano distraído e incluso las soluciones tradicionales de seguridad de correo electrónico.
Los ataques VEC son más complicados de llevar a cabo y más difíciles de detectar
Los ataques VEC son más engañosos para los actores de amenazas, ya que generalmente involucran un proceso de ataque más profundo y requieren un actor de amenazas con más recursos (y paciencia), dice Rik Turner, analista principal senior de Omdia, a CSO. “También implica la investigación de la base de clientes del proveedor utilizando fuentes de inteligencia de código abierto (OSINT) como las redes sociales. Dicho esto, claramente tiene un potencial considerable para el atacante correcto, con los recursos para llevar a cabo tal explotación".
VEC es más difícil de detectar (o al menos más difícil de frustrar) que un ataque BEC regular que involucra una identidad falsificada dentro de la misma organización, agrega Turner. Esto es por dos razones. En primer lugar, un empleado que recibe el correo electrónico en un ataque BEC podría consultar con otra persona de la empresa si el director financiero está realmente de vacaciones y si parece probable que solicite una transferencia urgente de fondos porque un trato se cerró repentinamente. [por ejemplo], dice Turner. En segundo lugar, hay menos probabilidades de que el destinatario note algo desagradable, como "el jefe nunca usa esa palabra" si el correo electrónico aparentemente es de alguien del departamento de cuentas del proveedor, especialmente si no ha tratado con esa persona antes. .
Abordar las amenazas de ataques VEC es un proceso doble, dice Fernando Montenegro, analista principal sénior de Omdia. “A nivel tecnológico, los controles de seguridad de su correo electrónico deben estar al tanto de esta variación de amenazas y estar al tanto de los signos reveladores; así como la seguridad del correo electrónico usa ML/AI para discernir las comunicaciones ejecutivas, también debe hacer esto para las comunicaciones de los proveedores”. En términos generales, la organización también necesita procesos comerciales sólidos para cambiar la información de pago de los proveedores, añade. “Esto está más allá del alcance de la ciberseguridad tradicional, pero para mí es el aspecto más crítico de esto”.
