Gracias a Bill Kearney, de Sophos Rapid Response, por su trabajo en este artículo.
Si ha leído el reciente Informe de Amenazas 2021 de Sophos, sabrá que hemos incluido deliberadamente una sección sobre todo el malware que existe y que no es ransomware.
Claro que el ransomware acapara los titulares de los medios de comunicación estos días, pero la ciberdelincuencia va mucho más allá de los ataques de ransomware.
De hecho, como hemos señalado antes, muchos incidentes de ransomware ocurren debido a otro malware que se infiltró en su red primero y trajo el ransomware después.
De hecho, muchas intrusiones en la red no implican ningún tipo de malware, porque los ciberdelincuentes tienen muchas otras formas de sacar dinero a sus usuarios, a su empresa o a ambos.
Este es un ejemplo que el equipo de Respuesta Rápida de Sophos encontró recientemente: una intrusión oportunista en la red que era mucho menos sofisticada que un típico ataque de ransomware o de robo de datos, pero peligrosa y desconcertante de todos modos.
Peor aún, para los empleados de la empresa, estos delincuentes no buscaban específicamente a la empresa en su conjunto, sino que parecían atacar la red simplemente porque representaba una forma conveniente de hackear a muchos individuos al mismo tiempo.
En pocas palabras, los delincuentes buscaban el mayor número de cuentas a las que pudieran acceder para comprar el mayor número de tarjetas de regalo en el menor tiempo posible.
Como probablemente sepas, las tarjetas de regalo que compras en línea suelen enviarse por correo electrónico a un destinatario de tu elección como un código secreto y un enlace de registro.
Por lo tanto, recibir un código de tarjeta regalo es un poco como obtener el número, la fecha de caducidad y el código de seguridad de una tarjeta de crédito de prepago: en términos generales, quien tiene el código puede gastarlo.
Aunque las tarjetas regalo están pensadas para ser usadas sólo por el destinatario -se supone que no son transferibles- no hay mucho que impida al destinatario permitir que otra persona las use si así lo desea, y eso significa que pueden ser vendidas en la sub-red del cibercrimen.
Y a pesar de que un vale de regalo de 200 dólares, vendido ilegalmente en línea por, digamos, la mitad de su valor nominal, no parece mucho…
…los delincuentes con acceso a los usuarios de toda una empresa -en esta historia, la VPN de la empresa daba soporte a unas 200 personas- pueden intentar adquirir no sólo una, sino potencialmente cientos de tarjetas de regalo prepago en poco tiempo.
A los delincuentes en este caso no les importaba si las víctimas que se quedaban sin dinero eran los empleados individuales, la propia empresa o ambos.
Rompidos y repelidos
La buena noticia es que los delincuentes sólo llegaron a gastar 800 dólares del dinero de otras personas antes de que el equipo de Respuesta Rápida pudiera expulsarlos de la red y, por lo que sabemos, las compras fraudulentas se detectaron y revirtieron a tiempo para que nadie acabara con su bolsillo.
Como verán, la principal razón por la que los ladrones fueron retumbados y repelidos a tiempo fue porque un administrador de sistemas de la empresa afectada actuó tan pronto como detectó que algo iba mal.
Si has visto el vídeo de Naked Security Live de la semana pasada, titulado «Vencer la amenaza», sabrás que en nuestros consejos al final del vídeo, dijimos:
Cualquier pista que puedas obtener que sugiera que un delincuente podría estar en tu red es un consejo que vale la pena mirar. porque estás viendo algo que no puedes justificar del todo, pero que viste antes y estaba bien la última vez – no asumas que está bien esta vez. Es un poco como oír que la alarma de incendios se dispara en la cocina y pensar: «¿Sabes qué? La última vez fue el vapor de la tetera lo que la activó por error, así que voy a suponer que eso es lo que está pasando». Esta vez, podría ser algo en la estufa que ya se ha incendiado.
Por todo lo que nos enorgullece que el equipo de Respuesta Rápida de Sophos fue capaz de reaccionar rápidamente y hacer frente al ataque, la parte vital fue que la víctima desencadenó una respuesta adecuada rápidamente en primer lugar.
Cómo ocurrió
Estos delincuentes no tuvieron tiempo de limpiar lo que hicieron, o tal vez no tenían intención de hacerlo, pero por lo que sabemos, el ataque se desarrolló de forma sencilla y rápida.
No podemos estar seguros de cómo entraron los delincuentes para empezar, pero lo que sí sabemos es:
- El servidor VPN de la víctima no había sido parcheado durante varios meses. Esto por sí solo podría haber sido suficiente para que los delincuentes entraran: existía un exploit para la versión antigua que, en teoría, podría haber permitido a los delincuentes colarse en la red.
- El servidor VPN no había sido configurado para requerir 2FA. Esto significa que una contraseña robada con éxito de un solo usuario podría haber sido suficiente para darles su cabeza de playa. (A pesar de la vulnerabilidad no parcheada, sospechamos que esta es la forma en que los atacantes entraron esta vez.)
- Una vez «dentro» de la VPN, los delincuentes fueron capaces de utilizar RDP internamente para saltar de un ordenador a otro. Esto significaba que podían abrir los navegadores web en los ordenadores de los usuarios y ver de qué cuentas en línea no habían cerrado la sesión, incluyendo sus cuentas de correo electrónico personales (por ejemplo, Gmail y Outlook.com). Asegúrate de que proteges el RDP con la misma solidez desde dentro de tu red que desde fuera.
- Los ladrones utilizaron cuentas de correo electrónico individuales para hacer una serie de restablecimientos de contraseña. En los ordenadores en los que los delincuentes podían acceder a las cuentas de correo electrónico gracias a las credenciales almacenadas en caché, pero no podían entrar en otras cuentas interesantes porque el usuario había cerrado la sesión en ellas, hacían los restablecimientos de contraseña a través de la cuenta de correo electrónico. Entre las cuentas a las que se dirigieron los delincuentes se encuentran las de Best Buy, Facebook, Google Pay, PayPal, Venmo y Walmart.
Por suerte, parece que sólo unos pocos de los usuarios atacados de esta manera habían guardado los datos de sus tarjetas de crédito para reutilizarlos automáticamente al hacer compras, lo que probablemente sea la razón por la que los delincuentes sólo consiguieron unos cientos de dólares en compras con tarjetas de regalo antes de ser descubiertos.
Al parecer, numerosos usuarios que necesitaban restablecer sus contraseñas alteradas para volver a entrar en sus cuentas se dieron cuenta de que había tarjetas de regalo en cola para comprar en sus carros de la compra online, pero que los ladrones no habían podido finalizar esas compras.
(No podemos saber si los ladrones dejaron las compras fallidas porque los atraparon antes de que pudieran limpiarlas, porque esperaban que el titular legítimo de la cuenta las pasara por alto y las comprara por error más adelante, o porque estaban centrados en la rapidez y no les importaba lo que sucediera después.)
Pero hay más
Como ocurre con muchos ataques, éste no tenía un único propósito, aunque hacerse con «dinero para vender» parece haber sido el principal motivador en este caso.
Los delincuentes también descargaron e instalaron una popular herramienta gratuita de búsqueda de archivos para ayudarles a buscar archivos interesantes en la red.
Esta herramienta dejó un archivo de registro que revela que los delincuentes estaban buscando activamente datos personales y confidenciales relacionados tanto con la empresa como con su personal.
No sabemos cuánto pudieron adquirir los delincuentes de los archivos que buscaban, si es que pudieron conseguir algo, pero sí sabemos lo que les interesaba, que incluía:
- Extractos bancarios relativos a los individuos y a la empresa.
- Acuerdos comerciales para aceptar pagos con tarjeta de crédito.
- Solicitudes de tarjetas de crédito.
- Detalles de los conductores de la empresa.
Por lo que parece, la búsqueda de archivos parece haber sido un interés secundario para estos delincuentes, que estaban pero decididos y persistentes en sus intentos de realizar compras fraudulentas contra todos los usuarios de la red que pudieran.
Sin embargo, interés secundario o no, los delincuentes no iban sólo detrás de las tarjetas de regalo.
Después de todo, los datos personales y corporativos que se supone que son privados también tienen valor en la clandestinidad del cibercrimen, no sólo para su reventa a otros delincuentes, sino como vehículo para ayudar a la actividad criminal.
La reacción rápida da sus frutos
Por suerte, estos delincuentes parecen haberse quedado atascados al principio de su ataque.
Supuestamente, frustrados porque no podían entrar en las cuentas de correo electrónico de tantos usuarios como querían, resetearon las contraseñas de varias cuentas relacionadas con la empresa para ampliar su acceso.
Eso tuvo el efecto secundario de bloquear a los usuarios, incluido uno de los administradores de sistemas, fuera de varios sistemas de la empresa…
…y el administrador de sistemas no se limitó a remediar el problema inmediato para arreglar el qué, sino que también desencadenó una reacción para averiguar el por qué.
Esa reacción condujo muy rápidamente a que los ladrones fueran expulsados de la red.
Como dijimos antes, cualquier pista es una buena pista.
¿Qué hacer?
La velocidad y la determinación de estos delincuentes, entrando especulativamente en una cuenta de correo electrónico tras otra, es un excelente recordatorio de por qué la defensa en profundidad es importante.
Todos estos consejos habrían ayudado en este caso:
- Parche temprano, parche a menudo. La VPN vulnerable mencionada en este artículo probablemente no era la forma en que los ladrones obtuvieron el acceso en este caso, pero era una posible vía de entrada de todos modos. ¿Por qué estar detrás de los ladrones cuando podrías estar delante?
- Utiliza 2FA siempre que puedas. Un segundo factor de autenticación tanto para la VPN externa como para los servidores RDP internos podría haber sido suficiente por sí solo para mantener a estos ladrones fuera.
- Cierra la sesión de las cuentas cuando no las estés usando. Sí, es una molestia volver a iniciar sesión en las cuentas cada vez que necesitas usarlas, pero combinado con el 2FA hace mucho más difícil que los ladrones se aprovechen de ti si consiguen acceder a tu navegador.
- Reconsidera a qué sitios web permites mantener los datos de las tarjetas de pago en línea para la próxima vez. Las empresas que guardan los datos de la tarjeta de pago sólo para compras específicas, como el pago de una factura de servicios públicos, suponen un riesgo mucho menor que los servicios en línea a través de los cuales se puede utilizar su tarjeta para pagar casi cualquier cosa, especialmente para artículos que se «entregan» inmediatamente por correo electrónico.
- No bloquee el malware sólo con su producto de protección contra amenazas. Bloquee también las aplicaciones potencialmente no deseadas (PUA) y las herramientas de hacking. Los ciberdelincuentes recurren cada vez más al software legítimo de ciberseguridad y gestión de redes que usted ya tiene en su sistema, en lugar de utilizar el malware -una técnica que se denomina «vivir de la tierra»- con la esperanza de parecer los propios administradores de sistemas. Atrápelos si puede.
- Tenga un lugar para que los usuarios informen de los problemas de seguridad. Si te bloquean tu propia cuenta inesperadamente, asegúrate de que tu reacción no sea simplemente «necesito volver a conectarme», sino también «necesito encontrar la causa subyacente». Una dirección de correo electrónico o un número de teléfono de la empresa fácil de recordar para los informes de ciberseguridad puede ayudarle a convertir a toda su empresa en ojos y oídos para el equipo de seguridad de TI.
- Mantenga a sus usuarios alertas a las últimas tendencias de phishing. Considere la posibilidad de un producto de formación contra el phishing, como Sophos Phish Threat. Todavía no podemos estar seguros, pero parece que una sola contraseña suplantada podría haber sido la forma en que los delincuentes se iniciaron en estos ataques.
- No se deje desviar por amenazas específicas como el ransomware. Las herramientas específicas para el ransomware son útiles como parte de un enfoque de defensa en profundidad, pero no habrían detenido este ataque por sí solas. Sin embargo, un enfoque holístico que hubiera bloqueado a estos delincuentes muy probablemente habría detenido también la mayoría de los ataques de ransomware.