El phishing nigerià dirigeix els seus atacs a companyies industrials per robar plans i projectes

A  l’octubre de 2016, els analistes de Kaspersky Lab van notar un augment significatiu en el nombre d’intents d’infecció de malware dirigit a clients industrials. Van identificar més de 500 empreses atacades en 50 països

El malware utilitzat pertany a almenys vuit famílies diferents d’espionatge i troians clandestí, totes disponibles a baix preu al mercat negre, i dissenyades principalment per a robar dades confidencials i instal·lar eines d’administració remota en sistemes infectats.

Els ciberdelinqüents responsables de la recent onada d’atacs de phishing i d’intercepció de pagaments a empreses industrials també estan robant plans i projectes operatius de les víctimes, segons un informe de l’Equip de Resposta a Ciberemergencias de Sistemes de Control Industrial de Kaspersky Lab. La informació sostreta no és necessària per a l’esquema econòmic dels ciberatacants i planteja una sèrie d’inquietants preguntes sobre les seves intencions de futur.

Els atacs de Business Email Compromise (BEC), sovint vinculats a Nigèria, busquen segrestar i controlar comptes empresarials reals que els atacants poden utilitzar per interceptar o redireccionar les transaccions financeres. A l’octubre de 2016, els analistes de Kaspersky Lab van notar un augment significatiu en el nombre d’intents d’infectar a clients industrials. Van identificar més de 500 empreses atacades en 50 països, principalment empreses industrials i grans corporacions de transport i logística. Els atacs segueixen actius.

La seqüència d’atac
La seqüència d’atac comença amb un correu electrònic de phishing acuradament elaborat que sembla provenir de proveïdors, clients, organitzacions comercials i serveis de distribució. Els ciberdelinqüents usen malware pertanyent a almenys vuit famílies d’espionatge diferents i troians clandestins, totes disponibles a baix preu al mercat negre, i dissenyades principalment per a robar dades confidencials i instal·lar eines d’administració remota en sistemes infectats.

En els equips infectats, els ciberatacants prenen captures de pantalla d’emails o redireccionen missatges a la seva pròpia bústia per poder buscar transaccions interessants o lucratives. Les transaccions es intercepten a través d’un clàssic atac man-in-the-middle, reemplaçant els detalls del compte en la factura d’un venedor legítim amb els dels atacants. És difícil per a les víctimes detectar la substitució fins que és massa tard i els diners ja ha desaparegut.

L’amenaça desconeguda
En analitzar els servidors de comandament i control utilitzats en els atacs més recents de 2017, els analistes van observar que entre la informació robada hi havia captures de pantalla d’operacions i projectes, així com dibuixos tècnics i diagrames de xarxa. A més, aquestes imatges no s’havien aconseguit dels equips dels gerents de projectes o dels encarregats de l’adquisició, els objectius habituals dels ciberatacants, sinó d’equips d’operadors, enginyers, dissenyadors i arquitectes.

“No hi ha necessitat que els ciberdelinqüents recullin aquest tipus de dades per perpetrar les seves estafes de phishing. Llavors, què fan amb aquesta informació? La recopilació de dades és accidental o intencional -potser un encàrrec d’un tercer? Fins ara, no hem vist cap informació robada pels ciberdelinqüents nigerians en el mercat negre. No obstant això, està clar que per a les empreses atacades a més de la pèrdua financera directa, un atac de phishing nigerià planteja altres amenaces, possiblement més greus”, afirma Maria Garnaeva, analista Sènior de Seguretat, Anàlisi de Amenaces d’Infraestructures Crítiques de Kaspersky Lab.

El següent pas podria ser obtenir accés als equips que formen part del sistema de control industrial, on qualsevol intercepció o ajust de la configuració podria tenir un impacte devastador.

Perfil del atacant
Quan els analistes van extreure les adreces de comandament i control (C & C) dels arxius maliciosos, va resultar que en alguns casos els mateixos servidors s’utilitzaven per malware de diferents famílies. Això suggereix que hi ha un sol grup de ciberdelinqüència darrere de tots els atacs, fent ús de diferents programes maliciosos o de diversos grups que comparteixen recursos.

Els analistes també van trobar que la majoria dels dominis registrats procedien de residents de Nigèria.

Com mitigar l’amenaça
Kaspersky Lab recomana a les empreses implementar les següents pràctiques bàsiques de seguretat:Formar els empleats en seguretat: no fer clic a enllaços sospitosos i adjunts i comprovar acuradament l’origen dels correus electrònics i mantenir-los informats de les últimes eines i trucs utilitzats pels ciberdelinqüents.

Revisar sempre les sol·licituds per canviar els detalls del compte bancari, els mètodes de pagament, etc. durant les transaccions.

Instal·lar una solució de seguretat en totes les estacions de treball i servidors on sigui possible i implementar totes les actualitzacions sense demora.

En el cas d’un sistema compromès, canviar les contrasenyes de tots els comptes utilitzats en aquest sistema.

Si l’organització té un sistema de control industrial, instal·lar una seguretat especialitzada que monitoritzi i analitzi tota l’activitat de la xarxa i més.

Per Tecnonews / AMIC

TOTES LES NOTÍCIES