Estas plataformas de colaboración en equipo resultaron invaluables para las fuerzas de trabajo remotas e híbridas durante los últimos dos años, y están aquí para quedarse.

Se espera en 2022 un gran ataque de ransomware que comience realizando una campaña de phishing a través de una de estas plataformas de colaboración. El phishing es una de las formas más comunes de obtener acceso inicial a una red en ataques de ransomware. Debido a que estas aplicaciones son parte de las actividades diarias de los empleados es muy probable que los hackers intenten atraparlos con la guardia baja a través de mensajes engañosos en estas plataformas.

En Slack, por ejemplo, los intrusos pueden enviar mensajes falsos con enlaces, archivos maliciosos o solicitudes de información privada si obtienen acceso a la URL de webhook única del canal. Si un usuario hace clic en el enlace incorrecto o sin saberlo abre un archivo sospechoso y el daño está hecho. Una vez obtenido el acceso intentarán moverse lateralmente dentro de una red corporativa y aumentar los privilegios para que finalmente puedan cifrar servidores y estaciones de trabajo.

Uso de “deep learning” para crear mensajes phishing convincentes

Investigadores en seguridad se pusieron a trabajar y se dieron cuenta del poder del “deep learning” (aprendizaje profundo) en 2021, cuando las pruebas demostraron que la inteligencia artificial podía escribir mejores correos electrónicos de phishing que los humanos. Spear phishing es un ataque más específico centrado en un individuo o grupo en particular dentro de una organización. Si bien los mensajes de phishing genéricos son más fáciles de detectar, la naturaleza altamente específica del phishing selectivo hace que sea más difícil de descubrir. Estos correos electrónicos suelen hacer referencia a nombres específicos y sus roles dentro de la organización, además de hacerse pasar por ejecutivos de alto nivel de la empresa o socios proveedores de confianza.

Los experimentos involucraron a investigadores de seguridad que enviaron mensajes de phishing a 200 colegas. Los mensajes fueron elaborados tanto por humanos como por modelos de deep learning. Los resultados mostraron que los mensajes escritos con GPT-3 (modelo de lenguaje de OpenAI, que es capaz de programar, diseñar y hasta conversar como humano) fueron más efectivos que los humanos para persuadir a los destinatarios de hacer clic en los enlaces que contenían.

El deep learning es un campo de la IA (Inteligencia Artificial) que utiliza redes neuronales para extraer características de alto nivel de los datos. Los ciber atacantes podrán usar plataformas de deep learning para obtener información personal de las redes sociales y otras fuentes para generar correos electrónicos de phishing aún más personalizados.

La aparición de los deepfakes en el phising

Los deepfakes son archivos de audio o video sintéticos generados mediante algoritmos de deep learning. La mayoría de las personas reconoce el uso  de esta tecnología de forma inofensiva para crear videos divertidos, a menudo reemplazando la cara de una persona con otra en un video existente. Sin embargo, hay usos mucho más peligrosos de esta tecnología.

Una posibilidad en 2022 es la aparición del phishing profundo (deep phishing). El cibercrimen creará audio o video haciéndose pasar por un CEO, propietario u otro empleado de alto nivel de la empresa para que las personas divulguen información confidencial o tomen otra acción deseada que podría conducir a la extorsión, la apropiación de cuentas o la extracción de datos.

La probabilidad de ser engañado por un mensaje de correo de voz que suena exactamente como un líder de la empresa es muy alta. El mismo destino le depara al video, dado que los directores ejecutivos y los propietarios suelen tener una fuerte presencia pública esto proporciona gran cantidad de datos que pueden usar a favor los atacantes.

Las apariciones en video de seminarios web, los podcasts y otros medios se pueden usar como entradas para ayudar a algoritmos de deep learning a generar videos o audio con mayor precisión haciéndose pasar por alguien.

Suplantación de identidad en la cadena de suministro

Varios ataques cibernéticos recientes destacan por buscar explotar eslabones débiles en las cadenas de suministro para comprometer objetivos altamente lucrativos.

Las campañas de phishing se están dirigiendo cada vez más a terceros, incluidos socios, vendedores y proveedores en 2022. Vulnerar una cuenta de correo electrónico en ellos puede comenzar el aprovechamiento de las relaciones de confianza en terceros para enviar correos electrónicos maliciosos a objetivos atractivos o de alto nivel en las organizaciones con las que interactúan.

El dominio del socio o proveedor a menudo será de confianza de forma predeterminada en la empresa objetivo, lo que hace que sea mucho más difícil para una puerta de enlace de correo electrónico segura marcar o detectar una dirección de correo electrónico falsificada o correos electrónicos de phishing.

El phishing en la cadena de suministro es una posibilidad incluso sin el compromiso de la cuenta de un tercero. Simplemente falsificar a un socio puede ser suficiente para engañar a alguien y obtener acceso a la red o información adicional como un número de cuenta bancaria u otra información personal que se puede usar en un ataque de phishing selectivo.

Grupos de ransomware en evolución

El vínculo entre el phishing y el ransomware es tan fuerte que es importante intentar predecir cómo se desarrollarán estos ataques en los próximos meses. La aparición de BlackCat a fines de 2021 sirvió como la primera señal de advertencia de qué esperar.

El ransomware siempre se ha centrado en la extorsión: en su forma más temprana, las tácticas se centraron en aprovechar el miedo que se genera al cifrar servidores, archivos y estaciones de trabajo, ocasionando que las víctimas paguen. En los últimos dos años se agrego una doble extorsión amenazando con la publicación de los datos obtenidos.

En 2022, se espera que los grupos de ransomware agreguen otra capa a sus tácticas de extorsión para presionar aún más a las víctimas para que realicen pagos. La triple extorsión agrega la amenaza de un ataque DDoS en la infraestructura de red de las víctimas. En un mundo donde el tiempo de inactividad es increíblemente costoso, muchas organizaciones considerarán pagar para evitar esta consecuencia.

Otra evolución a esperar es que el cibercrimen se desplace cada vez más hacia otras criptomonedas para recibir pagos de rescate. Bitcoin se puede rastrear, y las fuerzas del orden emplean varias técnicas analíticas para asociar direcciones Bitcoin a direcciones IP. Teniendo en cuenta la naturaleza dominante de esta criptomoneda y sus vulnerabilidades de privacidad, espere ver más ciber actores exigiendo pagos a través de monedas con fuertes capacidades de privacidad como Monero y Zcash.

Más por venir…

Eso concluye la primera parte de esta serie de dos partes sobre ataques en correo electrónico y predicciones de phishing para 2022. Si hay algo que aprender aquí, es que el phishing evolucionará para convertirse en una amenaza aún más sofisticada. Confiar solo en empleados conscientes de la seguridad no será suficiente.

Las empresas necesitarán una solución de seguridad de correo electrónico avanzada y de nueva generación como parte de su estrategia de seguridad para ayudar a combatir las amenazas modernas.

En NEKT podemos ayudarte a estar preparado para enfrentar este reto, contamos con tecnología de punta que utiliza inteligencia artificial para detectarlas y mitigarlas. ¡Contáctanos!

Fuente: IronScales Blog, febrero 2022

The post 5 predicciones de seguridad del correo electrónico y phishing para 2022 (Parte 1) appeared first on NEKT Cyber.

Un ataque estuvo dirigido principalmente a bancos y ministerios ucranianos con un nuevo malware denominado HermeticWiper, dio a conocer Jean-Ian Boutin, jefe de investigación de amenazas en ESET.

El llamado malware tipo wiper o limpiaparabrisas, tiene el propósito de destruir los datos de las víctimas, y aparentemente, demostró en Ucrania ser eficaz en hacerlo.

Bancos y ministerios del gobierno afectados

El vice primer ministro Mykailo Fyodorov dijo que Ucrania sufrió un ciberataque masivo que afectó a las principales páginas web del Gobierno.

Fyodorov dijo que el ataque comenzó a última hora de la tarde del miércoles y afectó a varios bancos, así como a sitios web oficiales, sin especificar su origen.

ESET aseguró que el malware HermeticWiper solo fue en observado en Ucrania.

Sin embargo, Symantec Threat Intelligence de Broadcom detectó ataques de borrado de datos en Letonia y Lituania, así como en Ucrania., con contratistas financieros y gubernamentales como objetivos.

El malware del limpiaparabrisas no es el único incidente de ciberseguridad contra Ucrania. Ataques DDoS (Denegación de servicio distribuida) derribaron los sitios web de varios bancos y agencias gubernamentales. Una agresión DDoS similar se inició la semana pasada contra bancos en el país, algo de lo que funcionarios estadounidenses culparon al gobierno ruso.

En enero pasado, el Centro de Inteligencia sobre Amenazas de Microsoft (MSTIC) detectó evidencia de una operación de malware destructiva dirigida a múltiples organizaciones en Ucrania.

La compañía de tecnología dijo que estaba “al tanto de los eventos geopolíticos en curso en Ucrania y la región circundante”, por lo que alentó a las organizaciones a usar la información para protegerse de manera proactiva de cualquier actividad maliciosa.

La tecnología que se usó

Detectado por los productos de ESET como Win32/KillDisk.NCV, el wiper de datos fue identificado por primera vez justo antes de las 5:00 p.m. hora local del miércoles. Mientras tanto, las marcas de tiempo en HermeticWiper muestran que fue compilado el 28 de diciembre de 2021, lo que sugiere que el ataque puede haber estado en proceso durante algún tiempo.

HermeticWiper hizo uso de forma maliciosa de controladores legítimos del popular software de administración de discos para causar estragos en los sistemas de las víctimas. “El wiper abusa de los controladores legítimos del software EaseUS Partition Master para corromper los datos”, según los investigadores de ESET.

También parece que, al menos en un caso, los atacantes tuvieron acceso a la red de la víctima antes de liberar el malware. Los atacantes utilizaron un certificado de firma de código genuino emitido por una empresa con sede en Chipre llamada Hermetica Digital Ltd., de ahí el nombre de este malware que borra datos.

A mediados de enero, otro wiper de datos se extendió por Ucrania apuntando a organizaciones de este país. Llamado WhisperGate, el malware se hizo pasar por un ransomware y trajo algunos ecos del ataque NotPetya que impactó a Ucrania en junio de 2017 antes de causar estragos en todo el mundo.

The post Rusia vs. Ucrania: Utilizan en ciberguerra el malware “HermeticWiper” appeared first on NEKT Cyber.