Los ciberdelincuentes comienzan a robar datos de proyectos empresariales en lugar de dinero y datos bancarios

El equipo de respuesta a ciberemergencias de sistemas de control industrial de Kaspersky Lab ha detectado que los ciberdelincuentes responsables de la reciente oleada de ataques de 'phishing' e interceptación de pagos a empresas industriales también están robando planes y proyectos operativos de las víctimas.

Según un informe de la compañía de ciberseguridad, la información sustraída no es necesaria para el esquema económico de los ciberatacantes y plantea "una serie de inquietantes preguntas sobre sus intenciones futuras", ha dicho la empresa en un comunicado.

Nigeria es la fuente habitual de procedencia de ataques del tipo 'business email compromise' (BEC) que buscan secuestrar y controlar cuentas empresariales reales que los atacantes pueden utilizar para interceptar o redireccionar las transacciones financieras.

En octubre de 2016, los analistas de Kaspersky Lab notaron un aumento significativo en el número de intentos de infectar a clientes industriales: identificaron más de 500 empresas atacadas en 50 países, principalmente empresas industriales y grandes corporaciones de transporte y logística. Los ataques siguen activos.

La secuencia de ataque comienza con un correo electrónico de 'phishing' cuidadosamente elaborado que parece provenir de proveedores, clientes, organizaciones comerciales y servicios de distribución.

Los ciberdelincuentes usan 'malware' perteneciente al menos ocho diferentes familias de espionaje y troyanos 'backdoor', todas disponibles a bajo precio en el mercado negro y diseñadas principalmente para robar datos confidenciales e instalar herramientas de administración remota en sistemas infectados.

En los equipos infectados, los ciberatacantes toman capturas de pantalla de 'emails' o redireccionan mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. Estas transacciones se interceptan a través de un ataque 'man-in-the-middle', reemplazando los detalles de la cuenta en la factura de un vendedor legítimo con los de los atacantes. Es difícil para las víctimas detectar la sustitución hasta que es demasiado tarde y el dinero ya ha desaparecido.

Robos de información sin motivo conocido

Pero al analizar los servidores de comando y control utilizados en los ataques más recientes de 2017, los analistas observaron que entre la información robada había capturas de pantalla de operaciones y proyectos, así como dibujos técnicos y diagramas de red.

Además, estas imágenes no se habían conseguido de los equipos de los gerentes de proyectos o de los encargados de la adquisición, objetivos habituales de los ciberatacantes, sino de equipos de operadores, ingenieros, diseñadores y arquitectos.

La analista 'senior' de Seguridad, Análisis de Amenazas de Infraestructuras Críticas de Kaspersky Lab Maria Garnaeva, ha explicado que "no hay necesidad de que los ciberdelincuentes recojan este tipo de datos para perpetrar sus estafas de 'phishing', por lo que se pregunta qué hacen con esta información o si la recopilación de datos es accidental o intencional, sin descartar que este ataque sea "un encargo de un tercero".

La experta en ciberseguridad reconoce que desde Kaspersky Lab no se ha detectado "ninguna información robada por los ciberdelincuentes nigerianos en el mercado negro". "Sin embargo, está claro que para las empresas atacadas, además de la pérdida financiera directa, un ataque de 'phishing' nigeriano plantea otras amenazas posiblemente más graves", ha añadido.

El siguiente paso, según la compañía, podría ser obtener acceso a los equipos que forman parte del sistema de control industrial, donde cualquier interceptación o ajuste de la configuración podría tener un impacto devastador. Cuando los analistas extrajeron las direcciones de comando y control (C&C) de los archivos maliciosos, resultó que en algunos casos los mismos servidores se utilizaban para 'malware' de diferentes familias.

"Esto sugiere que hay un solo grupo de ciberdelincuencia detrás de todos los ataques, haciendo uso de diferentes programas maliciosos o de varios grupos que cooperan y comparten recursos", afirman desde Kaspersky Lab. Los analistas también encontraron que la mayoría de los dominios registrados procedían de residentes de Nigeria.

Como mitigar la amenaza

Para mitigar la amenaza, resulta esencial formar a los empleados en seguridad para que no hagan clic en enlaces sospechosos y adjuntos y comprueben cuidadosamente el origen de los correos electrónicos. Mantenerles informados de las últimas herramientas y trucos utilizados por los ciberdelincuentes.

Conviene revisar siempre las solicitudes para cambiar los detalles de la cuenta bancaria o los métodos de pago durante las transacciones, e instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible. Implementar todas las actualizaciones sin demora.

En el caso de estar ante un sistema comprometido, hay que cambiar las contraseñas de todas las cuentas utilizadas en ese sistema. Y Si la organización tiene un sistema de control industrial, instalar una seguridad especializada que monitorice y analice toda la actividad de la red y más.