Observatorio de Amenazas

Campañas de Ingeniería social y ataques de Ransomware en aumento

Escrito por Javiera González | 16-05-24

Actores de amenazas están llevando a cabo dos tipos de campañas principales que las organizaciones deben conocer para estar protegidas. Se trata de las campañas de Ingeniería Social y de Ransomware. 

Campaña de ingeniería Social

Los actores de amenazas están llevando a cabo una campaña de Ingeniería Social sofisticada con el objetivo de obtener acceso inicial a las redes corporativas y luego explotarlas.

Tácticas:

  • Inundación de correo electrónico: Los actores envían grandes cantidades de correos electrónicos de spam a las organizaciones, diseñados para abrumar las soluciones de protección de correo electrónico. Estos correos electrónicos a menudo se disfrazan como mensajes de suscripción legítimos de organizaciones conocidas.
  • Suplantación de identidad: Una vez que los usuarios están abrumados por el correo electrónico no deseado, los actores de amenazas los llaman, haciéndose pasar por el equipo de TI de la empresa. Engañan a los usuarios para que instalen software de escritorio remoto (como AnyDesk o Microsoft Quick Assist) bajo la apariencia de solucionar problemas de correo electrónico.
  • Acceso remoto malicioso: Una vez que obtienen acceso remoto, los actores instalan malware adicional, recopilan credenciales y mantienen la persistencia en los hosts comprometidos.
  • Escalada de privilegios: Los actores intentan implementar Cobalt Strike y otras herramientas de acceso remoto para obtener un mayor control sobre la red comprometida.

Indicadores de Compromiso:

  • Gran volumen de correos electrónicos de spam de organizaciones aparentemente legítimas.
  • Llamadas telefónicas no solicitadas del supuesto equipo de TI.
  • Software de escritorio remoto no autorizado instalado en los equipos.
  • Actividad inusual en los sistemas.

Mitigaciones:

  • Capacitación sobre ingeniería social: Educar a los empleados sobre las tácticas comunes de ingeniería social y cómo identificar correos electrónicos y llamadas telefónicas sospechosas.
  • Soluciones de filtrado de correo electrónico robustas: Implementar soluciones de filtrado de correo electrónico más robustas que puedan detectar y bloquear correos electrónicos maliciosos.
  • Autenticación multifactor (MFA): Habilitar MFA para todos los accesos a la red y las cuentas en la nube.
  • Prohibición de software remoto no autorizado: Prohibir el uso de software de escritorio remoto no autorizado en los dispositivos de la empresa.
  • Monitoreo de sistemas: Monitorear los sistemas para detectar actividades inusuales que puedan indicar una intrusión.

Campañas de Ransomware

LockBit Black:

  • Este ransomware se está distribuyendo a través de la botnet Phorpiex, una red global de dispositivos infectados.
  • Los actores envían millones de correos electrónicos que contienen la carga útil del ransomware LockBit Black (también conocido como LockBit 3.0).
  • La campaña comenzó el 24 de abril de 2024 y aún está en curso.

Mallox:

  • Este ransomware ataca específicamente a los servidores SQL de Microsoft.
  • Utiliza el malware de cifrado de archivos Mallox para cifrar los datos de las víctimas.
  • Mallox ha estado activo desde al menos junio de 2021 y se ha dirigido a organizaciones en las industrias de fabricación, comercio minorista y tecnología.

Mitigaciones:

  • Parches de seguridad: Aplicar parches de seguridad de manera regular para corregir las vulnerabilidades conocidas.
  • Copias de seguridad de datos: Realizar copias de seguridad de datos de forma regular y segura para que puedan restaurarse en caso de un ataque.
  • Soluciones EDR: Implementar soluciones de detección y respuesta a endpoints (EDR) para detectar y detener ataques de ransomware en tiempo real.
  • Capacitación sobre phishing: Educar a los empleados sobre las tácticas de phishing y cómo evitar hacer clic en enlaces o abrir archivos adjuntos sospechosos en correos electrónicos.
  • No pagar rescates: No pagar rescates a los actores de amenazas, ya que esto los incentiva a continuar con sus actividades maliciosas.

Adicionalmente se recomienda:

  • Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
  • Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo de este tipo de ataques, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://thehackernews.com/2024/05/ongoing-campaign-bombarded-enterprises.html

https://hackdojo.io/articles/EWEMAB6K7/ongoing-campaign-bombarded-enterprises-with-spam-emails-and-phone-calls 

https://blog.netmanageit.com/ongoing-campaign-bombarded-enterprises-with-spam-emails-and-phone-calls/