Microsoft lanza la cuarta edición de “Cyber Signals”
Microsoft lanzó la cuarta edición de Cyber Signals, informe trimestral diseñado para dar un vistazo a las tendencias, tácticas y soluciones más importantes en el panorama digital de amenazas actual. Esta edición destaca un incremento en la actividad cibercriminal en torno al compromiso del correo electrónico empresarial (BEC por sus siglas en inglés).
Uno de los principales hallazgos de este informe fue el aumento del 38% en el cibercrimen como servicio dirigido al correo electrónico empresarial entre 2019 y 2022, lo que representa una aceleración de los ataques cibernéticos que cuestan a las organizaciones cientos de millones al año.
Además, se dio a conocer que, en 2022, el Equipo de Activos de Recuperación (RAT) del FBI inició la Cadena de Eliminación de Fraude Financiero (FFKC) en 2838 quejas de BEC que involucraban transacciones nacionales con pérdidas potenciales de más de $590 millones. Los ataques BEC se distinguen en la industria del cibercrimen por su énfasis en la ingeniería social y el arte del engaño. Entre abril del 2022 y abril del 2023, Microsoft Threat Intelligence detectó e investigó 35 millones de intentos BEC con un promedio de 156,000 intentos diarios.
El informe reveló que los actores de amenazas pueden tomar muchas formas, algunas de ellas son las llamadas telefónicas, mensajes de texto, correos electrónicos o divulgación en redes sociales. Además, la suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son tácticas comunes.
En lugar de explotar vulnerabilidades en dispositivos sin parches, los operadores de BEC buscan explotar el universo del tráfico de correo electrónico y otros mensajes para atraer a las víctimas a proporcionar información financiera o tomar medidas directas, tales como enviar fondos sin saberlo a cuentas de mulas de dinero que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.
A diferencia de un ruidoso ataque de ransomware con mensajes de extorsión disruptivos, los operadores de BEC juegan un juego de confianza silenciosa utilizando plazos artificiales y urgencia para estimular a los destinatarios, que pueden estar distraídos o acostumbrados a este tipo de solicitudes urgentes, a responder rápidamente. En lugar de malware novedoso, los adversarios de BEC alinean sus tácticas para centrarse en herramientas que mejoren la escala, la plausibilidad y la tasa de éxito en la bandeja de entrada de los mensajes maliciosos.
Microsoft observa una tendencia significativa en el uso por parte de los atacantes de plataformas como BulletProftLink, un servicio popular para crear campañas de correo malicioso a escala industrial, que vende un servicio de extremo a extremo que incluye plantillas, alojamiento y servicios automatizados para BEC. Los adversarios que utilizan este CaaS también reciben direcciones IP para ayudar a guiar la orientación BEC.
El diseño del puerto de enlace descentralizado de BulletProftLink, que incluye nodos de cadena de bloques públicos de Internet Computer para alojar sitios de phishing y BEC, crea una oferta web descentralizada aún más sofisticada que es mucho más difícil de interrumpir. La distribución de la infraestructura de estos sitios a través de la complejidad y el crecimiento evolutivo de las cadenas de bloques públicas hace que identificarlos y alinear las acciones de eliminación sea más complejo.
"Como ejecutiva de seguridad, sostengo la opinión de que la utilización de direcciones IP residenciales en varios ataques prominentes es motivo de preocupación. Microsoft reconoce y comparte las preocupaciones de los organismos federales encargados de hacer cumplir la ley y otras organizaciones con respecto a la posibilidad de que esta tendencia se expanda rápidamente. Esta expansión plantea desafíos significativos en términos de detección de actividades sospechosas utilizando alarmas o notificaciones convencionales", dijo Vasu Jakkal, VP Corporativa de Microsoft Security.
Los ataques BEC ofrecen un gran ejemplo de por qué el riesgo cibernético debe abordarse de manera multifuncional con el oficial de TI, cumplimiento y riesgo cibernético en la mesa junto con ejecutivos y líderes, empleados de finanzas, gerentes de recursos humanos y otros con acceso a registros de empleados como números de seguro social, declaraciones de impuestos, información de contacto y horarios.