Los investigadores de Kaspersky han detectado una nueva ola de correos electrónicos de spear phishing diseñados para generar dinero a los ciberdelincuentes. Los correos electrónicos se disfrazan de mensajes legítimos de compras y contabilidad y han afectado al menos a 400 organizaciones industriales, la mayoría en Rusia. La serie de ataques comenzó en el otoño de 2017 y tuvo como objetivo a cientos de PCs de empresas en industrias que van desde el petróleo y el gas hasta la metalurgia, la energía, la construcción y la logística.

En esta ola, los delincuentes no solo atacaron a las empresas industriales junto con otras organizaciones, sino que se centraron predominantemente en ellas. Enviaron correos electrónicos que contenían archivos adjuntos maliciosos y trataron de atraer a víctimas inocentes para que entregaran datos confidenciales, que luego podrían usar para obtener dinero.

Según datos de Kaspersky esta ola de correos electrónicos tuvo como objetivo a 800 PCs de empleados, con la finalidad de robar dinero y datos confidenciales de las organizaciones, mismos que pueden ser utilizados en nuevos ataques. Los correos electrónicos se disfrazaron como mensajes legítimos de compras y contabilidad, con contenido que correspondía al perfil de las organizaciones atacadas y tomaban en cuenta la identidad del empleado, es decir, el destinatario de la carta. Cabe destacar que los atacantes incluso se dirigieron a las víctimas específicas por su nombre. Esto sugiere que los ataques fueron cuidadosamente preparados y que los delincuentes se tomaron el tiempo para desarrollar una carta individual para cada usuario.

Cuando el destinatario hacía clic en los archivos maliciosos adjuntos, discretamente se instalaba un software legítimo modificado en la computadora para que los delincuentes pudieran conectarse, examinar documentos y software relacionados con las operaciones de adquisiciones, financieras y contables. Además, los atacantes buscaban formas diferentes de cometer fraude financiero, como cambiar los requisitos en las facturas de pago para retirar dinero en su beneficio.

Adicionalmente, cuando los delincuentes necesitaban datos o capacidades adicionales, como obtener derechos de administrador local o robar datos de autenticación de usuario y cuentas de Windows con el fin de propagarse en la red de la empresa, cargaban conjuntos adicionales de malware preparados individualmente para atacar a cada víctima. Esto incluía spyware, herramientas adicionales de administración remota que concedían el control a los atacantes en los sistemas infectados y malware para explotar las vulnerabilidades en el sistema operativo, así como la herramienta Mimikatz, que permite a los usuarios obtener datos de las cuentas de Windows.

“Los atacantes demostraron un claro interés en perseguir a las empresas industriales en Rusia. Conforme a nuestra experiencia, es probable que esto se deba a que su nivel de preparación para la ciberseguridad no es tan alto en comparación con otros sectores, como es el caso de los servicios financieros. Eso convierte a las empresas industriales en un blanco lucrativo para los ciberdelincuentes, no solo en Rusia, sino en todo el mundo”, dijo Vyacheslav Kopeytsev, experto en seguridad de Kaspersky Lab.