Desde hace varias semanas, hemos experimentado un cambio en la forma de trabajar. El teletrabajo se ha convertido, sin importar el sector, en la única manera de dar continuidad al negocio y esta nueva forma de desarrollar la actividad laboral introduce nuevos riesgos tecnológicos.

Desde los inicios de esta pandemia global, corporaciones han estado en la cola y otras han sido vanguardia. Hay empresas que han hecho los deberes durante estos meses y han conseguido unos niveles de madurez aceptables, otras en cambio se han visto afectadas por ciberataques que les ha provocado una discontinuidad del negocio.

No solo basta con disponer de un dispositivo de usuario con un antivirus que disponga de las firmas actualizadas, esa medida está bien, pero solo con eso la probabilidad de que un adversario pueda comprometer la organización sigue siendo alta.

Hoy en día las amenazas mutan rápido, se adaptan a las nuevas protecciones y formas de identificación de ataques. Nuestros adversarios, al igual que las divisiones de ciberseguridad juegan cada día para ganar, si nuestra organización es objetivo y no tiene las estrategias de ciberdefensa adecuadas, es muy probable que el adversario consiga acceder a nuestra infraestructura y operar con ella sin que seamos conscientes.

Cómo responder a los ciberataques

Las estrategias para reducir la probabilidad de éxito de nuestros adversarios las conocemos:

  • Cuidar la red: Segmentación de redes, DMZ definida, VPN, Firewalls, Proxy, DNS interno.
  • Cuidar los dispositivos de servicio: Mantener el software actualizado.
  • Cuidar el dispositivo de trabajo: Antivirus, Antivirus por comportamiento, EDR.
  • Educar al usuario: Concienciación y formación al usuario en ciberseguridad.

La campaña que se comenta a continuación es un ejemplo de cómo la tecnología en ocasiones no llega a cubrir la detección de algunos tipos de ataque y es necesaria la intervención humana para identificar e implementar de forma ágil continuos mecanismos de detección.

Un ejemplo de fraude

La campaña sigue activa tras un mes de seguimiento, utiliza como gancho la marca de una empresa de mensajería. Funciona de la siguiente manera:

  1. Solicita un pequeño pago para cubrir el gasto de un nuevo intento de entrega de paquete.
  2. En el momento en el que la víctima inserta los datos de su tarjeta de crédito, el cibercriminal roba la información.
  3. Posteriormente ejecuta un cargo económico en la cuenta bancaria de la víctima.

La cantidad defraudada a la víctima suele ser variable, uno de los últimos casos de fraude que ha trabajado nuestro laboratorio con una topología delictiva similar ha sido de 900 euros.

Imagen 1- Notificación bancaria operación fraude

Campaña maliciosa aprovechándose de la imagen de una empresa de mensajería

La infraestructura desplegada por el adversario ha estado operando 30 días, entre el día 19-04-2020 y el 19-05-2020. Durante el tiempo de campaña, varios de los productos comerciales destinados a la ciberdefensa y que son referentes en el mercado de la ciberseguridad no la han identificado, en el caso de disponer de esta tecnología queda el factor humano como única vía de detección temprana.

El sitio web destinado al fraude es el que se muestra en la Imagen 2.

Imagen 2 – Sitio web fraude

 

Cuando el usuario hace click en “Pagar y Continuar” el sitio web redirige a la pasarela de pago, que no resulta ser sino una simulación de una pasarela de pago, Imagen 3.

Imagen 3 – Pasarela de pago

La infraestructura tecnológica a través de la que están operando consta al menos de dos nombres de dominio registrados el día 19-04-2020 mediante el agente registrador publicdomainregistry[.]com.

Estos nombres de domino no están relacionados con una amenaza según virustotal[.]com, Imagen 4 e Imagen 5.

Imagen 4 – Resultado virustotal nombre de dominio entrega-fallida-de-paquete-corroes[.]com Mayo 2020.
Imagen 5 – Resultado virustotal nombre de dominio correos-paquete-entrega-fallida[.]com Mayo 2020.
El sitio web talosintelligence[.]com (CISCO) no reconoce el nombre de dominio malicioso.

Imagen 6 – Resultado análisis nombre de dominio talosIntelligence CISCO Mayo 2020.

El sitio web de reputación de Symantec, actualmente no reconoce el nombre de dominio.

Imagen 7 – Resultado análisis nombre de dominio Symantec Mayo 2020.

Los nombres de dominio anteriores resuelven a la dirección IP 162.241.61[.]74.

Esta dirección IP no está relacionada con una amenaza según virustotal[.]com.

Imagen 8 – Resultado análisis dirección IP virustotal[.]com Mayo 2020.
El sitio web de talosintelligence[.]com (CISCO) califica con reputación neutral la dirección IP a la que resuelven los nombres de dominio maliciosos.

Imagen 9 – Resultado análisis por dirección IP talosIntelligence (CISCO) Mayo 2020.

Cómo ciberdefendernos

Muchas veces hemos escuchado “nos envían una nueva oleada de correos electrónicos”, el procedimiento de operaciones de ciberdefensa para las campañas de nuestros adversarios, en ocasiones agresivas, unas veces dirigidas, otras indiscriminadas y generalistas sería el siguiente:

  1. Neutralizar (reaccionar)
  2. Detectar
    • Perfilar la acción maliciosa.
    • Identificar positivos en la organización.
  3. Reaccionar
  4. Detección avanzada
    • Perfilar al actor amenaza.
    • Perfilar receptores.
    • Ejecutar acciones de ciberinteligencia (TH, TI).
  5. Retroalimentar las cibercapacidades.
  6. Educar al empleado.

En ocasiones, concienciar a los empleados será el último elemento de protección que hará que el adversario no cause un dolor de cabeza a negocio cuando no se disponga de los mecanismos de seguridad adecuados o cuando la tecnología no consiga llegar porque el ciclo de vida de nuestra amenaza cambie con agilidad.

El adversario, independiente de sus motivaciones, capacidades y recursos, tiene por rutina comprometer. Si somos objetivo, el adversario operará intentando vapulear nuestras capacidades tecnológicas, el proceso humano en la gestión de la seguridad, por ejemplo, un SOC, no puede ser suplantado en ocasiones por ningún tipo de tecnología actual.

En el mundo físico no existe un medicamento que cure todas las enfermedades y en el mundo ciber no existe una tecnología o conjunto de tecnologías que identifique y neutralice todos los tipos de ataques.

Dependiendo de la fortaleza de nuestra TI, variará el equilibrio de recursos que el adversario tenga que destinar a las diferentes fases de la operación que tenga encomendada, cuando la fase de entrega esté cumplida, si solo queda por intervenir el factor humano en la cadena del ataque, solo nos quedará la capacidad de nuestro empleado para poder redimir la posibilidad de que nuestro adversario pueda comenzar a operar en nuestra infraestructura.

Invertir en ciberseguridad significa invertir en salud para nuestro negocio.