El ‘email’, vector de ataque atractivo para los ciberdelincuentes

Por el Cybercrime Intelligence Center de Kela

Una de las formas más usadas por los delincuentes para ejercer la ciberinteligencia es tratar de apoderarse de datos corporativos y utilizarlos en su beneficio. La manera más sencilla para ello es comprarlos en tiendas automatizadas y dedicadas a vender credenciales.

El Cybercrime Intelligence Center de Kela ha realizado un informe, en este sentido, donde examina el alcance de distintos mercados que facilitan cientos de miles de credenciales robadas y cómo se monetizan dichos datos.

Cada vez dependemos más del correo electrónico, de ahí que las cuentas de email empresariales sean un gran objetivo para los ciberdelincuentes. Estos utilizan diversos medios para piratearlas, entre los que destacan:

  • Cracking: utiliza ataques de fuerza bruta o de diccionario cuyo objetivo es desvelar las contraseñas de los usuarios.
    1. Ataque de fuerza bruta: emplea el método de prueba y error para adivinar el nombre de usuario.
    2. Ataque de diccionario: utiliza una lista de palabras para descifrar un sistema de seguridad protegido por contraseña.
  • Stealing: método por el que se obtienen las credenciales directamente del usuario a través de malware o campañas de phishing.
  • Stuffing: los actores de amenazas utilizan información filtrada de otras violaciones de datos para reutilizar credenciales que les permitan iniciar sesiones en otros servicios corporativos no relacionados. Intercambian bases de datos robadas y las utilizan para otro cibercrimen.
  • Buying: comprar bases de datos y utilizarlos para otros cibercrímenes.

Kela ha monitorizado los foros de ciberdelincuentes y se ha dado cuenta de que la demanda de accesos al email está en auge, de ahí el aumento de la cantidad de mercados que ofertan dichas bases de datos. Todo ello le ha llevado a centrarse en la manera en que los actores pueden robar o comprometer estos email. Las bases de datos se venden regularmente en el mercado clandestino, desde correos corporativos hasta email gubernamentales o listas combinadas.

Mercados automatizados de ventas de credenciales

El sistema del cibercrimen ha evolucionado, y con ello sus tiendas. Kela ha descubierto que esta evolución se centra en la servitización y automatización de las ventas. Como resultado, florecerán los proveedores dedicados. Algunos como XLeet, Odin, Xmina y Lufix ofrecen webmail corporativos y facilitan la vida de los ciberdelincuentes, permitiéndoles comprar un gran número de correos electrónicos a un precio asequible y luego dirigirse a decenas de víctimas. Kela recopila estos datos y permite identificar fácilmente el dispositivo y el nombre de usuario infectados.

Los proveedores tienen diseños similares, facilitando el proceso de compra a los compradores. Además, les posibilita clasificar y encontrar correos según características específicas, como un marketplace tradicional.

También existen ciberdelincuentes de menor tamaño que ofrecen servicios similares. Incluso muchos de ellos tienen canales de Telegram con más de mil suscriptores donde publican actualizaciones de nuevos compradores y webmail añadidos.

Actuaci´n de los ciberdelincuentes a través del email

Los actores que compran dichas credenciales las utilizan para múltiples tipos de ataques, entre los destacan:

  • Phishing: ataque que engaña a la víctima para que revele su información confidencial, como contraseñas y números de tarjetas de crédito. Existen varias herramientas y tutoriales disponibles en la comunidad cibercriminal que facilitan aún más el proceso. Además de diferentes servicios SMTP, servidores que se utilizan para enviar correos electrónicos a los destinatarios con un gran número de mensajes y que utilizan el dominio de la víctima, lo que les hace parecer legítimo.
  • Business Email Compromise (BEC): ataque que engaña a la víctima para que transfiera dinero a una cuenta o ubicación que el atacante controla. Un actor de BEC puede atacar a miles de empresas, causando pérdidas millonarias. Los mercados automatizados pueden facilitar la escalada de los ataques, posibilitando a los actores dirigirse a docenas de correos electrónicos corporativos.
  • Ataques de malware: incluyen todo tipo de programas maliciosos, como ransomware, troyanos que roban información, spyware, etc.

Los resultados del informe demuestran que el vector del correo electrónico es el preferido por los ciberdelincuentes, los cuales prefieren manipular el comportamiento humano con técnicas como BEC en lugar de las vulnerabilidades técnicas.

Para evitar estos ataques, las organizaciones deben seguir tres recomendaciones básicas: formar y educar a empleados, clientes y proveedores; imponer un cambio periódico de contraseñas; y vigilar el panorama de la ciberdelincuencia para descubrir nuevas tendencias y amenazas.

Kela descubrió, en este sentido, correos web corporativos comprometidos, proporcionando información en tiempo real sobre las actividades de los ciberdelincuentes. Esto permitió a las empresas identificar las cuentas comprometidas y prevenir los ciberataques proporcionando inteligencia en tiempo real sobre las actividades de los ciberdelincuentes.

Nuestra compañía entiende la profunda necesidad de capacitación debido a las brechas de conocimiento a las que se enfrentan los equipos de seguridad con respecto a la inteligencia del cibercrimen. De ahí que ofrezca talleres gratuitos de detección de ciberamenazas a su comunidad de expertos en defensa.

¿Cómo ofrece el mercado clandestino una base de datos de correos?

Existen distintas categorías para agrupar los correos:

  • País: clasificar por lugar de procedencia los email. El país más habitual es Estados Unidos.
  • Tipo de proveedores de correo empresarial: plataformas de correos; la más habitual, Microsoft Office.
  • Precio: varía según el proveedor.
  • Nicho: sector de actividad de la empresa.
  • Vendedor: los vendedores no se registran por nombres, sino por números.
  • Fuente: la categoría de origen de dichos datos incluye tres opciones: hackeado, que es el más habitual; registros, referido a los datos obtenidos por el malware que roba información; y creado, donde los actores elaboran varios correos electrónicos para la venta con el mismo nombre de dominio.
  • Herramientas de control: estos proveedores ofrecen un servicio de comprobación a los compradores antes de adquirir un correo web específico. Una vez que un actor está listo para comprar un correo electrónico, puede hacer ‘clic’ en el botón de “comprobar” para ver si las credenciales funcionan.
Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad