Las amenazas por e-mail en el 2022

¿Qué estrategias han sido las más populares entre los remitentes de e-mail malicioso durante el 2022?

La pandemia ha reformulado por completo el panorama de las amenazas por correo electrónico. El cambio masivo al teletrabajo y la inevitable transferencia de la mayoría de las comunicaciones al formato online ha generado un aumento tanto del phishing como de los ataques BEC.

El constante flujo de correspondencia comercial ha hecho que sea mucho más fácil para los ciberdelincuentes ocultar sus correos electrónicos entre la pila de mensajes legítimos, por lo que imitar la correspondencia comercial se ha convertido en un importante vector de ataque. También han cobrado nueva vida otros muchos trucos de ingeniería social, como la notificación que insta a la víctima a responder a un correo electrónico lo antes posible. Estas son las principales tendencias que hemos observado en el 2022:

  • El aumento en los envíos de spam con contenido malicioso para infectar el ordenador de la víctima.
  • El uso activo de técnicas de ingeniería social en correos electrónicos maliciosos más típicos del spear phishing (como agregar firmas para imitar departamentos específicos, usar lenguaje comercial y contexto apropiado para la empresa objetivo, aprovechar eventos del momento, referirse a empleados reales de la empresa, etc.).
  • La expansión del spoofing: el uso de direcciones de correo electrónico con nombres de dominio similares a los reales de las organizaciones objetivo (solo difieren en un par de caracteres).

Como resultado, los creadores de spam malicioso han podido disfrazarlo como mensajes internos y correspondencia comercial entre empresas e, incluso, como notificaciones de agencias gubernamentales. Estos son los ejemplos más ilustrativos que nos hemos encontrado este año:

El malware en correos electrónicos

La tendencia principal de este año ha sido el envío de correos maliciosos disfrazados de correspondencia comercial. Para que el destinatario abra un archivo adjunto o descargue un archivo en un enlace, los ciberdelincuentes suelen intentar convencerlo de que el correo electrónico contiene información comercial relevante, como una oferta o la factura por la entrega de algún producto. A menudo el malware se coloca en un archivo cifrado, cuya contraseña se proporciona en el cuerpo del mensaje.

Por ejemplo, a lo largo de todo el año nos hemos encontrado con la siguiente estrategia: los atacantes obtenían acceso a correspondencia comercial genuina (probablemente robándola de ordenadores previamente infectados) y enviaban nuevos correos electrónicos a todos los participantes con archivos o enlaces maliciosos. En otras palabras, han podido desarrollar la conversación de manera plausible. Esta artimaña hace que los correos electrónicos maliciosos sean más difíciles de detectar y aumente la probabilidad de que la víctima caiga en la trampa.

En la mayoría de los casos, al abrirse el documento malicioso, se cargaba el troyano Qbot o Emotet. Ambos pueden robar datos de usuarios, recopilar información en una red corporativa y distribuir otro malware como ransomware. Además, Qbot se puede utilizar para acceder al correo electrónico y robar mensajes; es decir, sirve como fuente de correspondencia para futuros ataques.

A medida que se acerca el final del año, las estrategias de los correos electrónicos maliciosos se vuelven cada vez más ingeniosas. Por ejemplo, a principios de diciembre, los estafadores que se hacían pasar por una organización benéfica pedían a las víctimas que se deshicieran de sus antiguos equipos. Por supuesto, para ello, las empresas debían descargar un archivo que supuestamente contenía la lista de dispositivos aceptados. Pero lo cierto es que el archivo adjunto era un ejecutable malicioso oculto en un archivo protegido con contraseña.

En otra campaña de correo electrónico, bajo la apariencia de unas facturas, los atacantes enviaron decenas de miles de archivos que contenían un troyano de puerta trasera que permitía el control remoto del ordenador infectado. Lo más interesante es que el archivo adjunto tenía extensiones como .r00, .r01, etc. Es probable que sus creadores quisieran hacer pasar el archivo adjunto como parte de un gran archivo RAR en un intento de eludir los sistemas de protección automática configurados para ciertas extensiones de archivo.

Las notificaciones gubernamentales falsas

Los correos electrónicos que imitan las notificaciones oficiales de los ministerios y otros departamentos gubernamentales han sido bastante frecuentes este año. Esta tendencia ha resultado especialmente notable en el sector de habla rusa de internet. Los correos electrónicos de este tipo se adaptan al perfil de la organización en específico, por lo que la dirección del remitente generalmente se parece al dominio auténtico del departamento y el archivo adjunto malicioso suele tener un título relevante, como “Comentarios sobre los resultados de la reunión”. Uno de esos archivos adjuntos contenía un código malicioso para explotar una vulnerabilidad en el Editor de ecuaciones, un componente de Microsoft Office.

Aprovechando los eventos del momento

En el sector de internet de habla rusa, también hemos visto un aumento en la actividad del correo electrónico malicioso según la agenda del momento. Por ejemplo, en octubre, los ciberdelincuentes distribuyeron malware bajo la apariencia de órdenes de convocatoria, aprovechando la “movilización parcial” de Rusia. Los correos electrónicos citaban el Código Penal Ruso, usaban el escudo y el estilo del Ministerio de Defensa y pedían al destinatario que descargara la orden a través de un enlace que dirigía a un archivo con un script que creaba un archivo ejecutable.

Además, registramos un correo electrónico que se hacía pasar por las fuerzas del orden rusas. El mensaje invitaba a la víctima a descargar una “nueva solución” para protegerse contra las amenazas online de organizaciones “hostiles”. Sin embargo, la realidad era que el programa que se instalaba en el ordenador era un troyano ransomware.

Cómo mantenerse a salvo

Las estrategias de los ciberdelincuentes son cada año más sofisticadas y los métodos para imitar la correspondencia comercial, más convincentes. Entonces, para mantener tu infraestructura corporativa protegida contra los ataques de correo electrónico, presta atención a las medidas organizativas además de las técnicas. En otras palabras, además de contar con soluciones de seguridad tanto en el nivel del servidor de correo corporativo como en los dispositivos conectados a Internet, recomendamos impartir regularmente formaciones en materia de ciberseguridad para empleados

Consejos