Ya han pasado un par de semanas desde el ataque contra Colonial Pipeline y la comunidad de la ciberseguridad sigue encontrando registros de actividad maliciosa relacionada con este incidente. Un nuevo reporte señala que un grupo de hacking está aprovechándose de esta noticia para desplegar una campaña de phishing, enviando correos electrónicos maliciosos para robar información de los usuarios interesados en este y otros notorios ataques.
Al parecer esta campaña fue desplegada contra los clientes y suscriptores al newsletter de la firma de seguridad INKY, quienes reportaron haber recibido emails con supuestos reportes sobre el ataque al oleoducto, además de incluir una supuesta actualización de sistema anti ransomware para protección contra incidentes similares. Si los usuarios hacían clic en los enlaces adjuntos, eran redirigidos a un sitio web registrado en NameCheap.
Los responsables de estos ataques crearon sitios web maliciosos de apariencia legítima, copiando casi a la perfección la imagen de INKY pero agregando un botón de descarga para inyectar una carga útil de Cobalt Strike en el sistema objetivo. Esta herramienta maliciosa es la segunda amenaza de seguridad más reportada, según el informe de actividades maliciosas de Red Canary.
“Los operadores de esta campaña tratan de abusar del creciente número de ataques de ransomware, ofreciendo a las víctimas potenciales la posibilidad de instalar una supuesta actualización de seguridad para prevenir una infección. El riesgo aumenta considerando que todo lo que los hackers necesitan es que el usuario objetivo haga clic en el botón de descarga del malware”, señala el reporte.
Este es un ataque sofisticado y al parecer ha permitido a los actores de amenazas evadir la detección de algunas de las más sofisticadas soluciones anti spam.
Por seguridad, los expertos recomiendan a los responsables de TI en las organizaciones que trabajan con INKY alertar a sus empleados ante la posible aparición de estos mensajes de phishing: “El éxito de estos ataques se basa en la desinformación, ya que muchos empleados no suelen tener los conocimientos para identificar una potencial amenaza de seguridad. En estos casos, la prevención y concientización son la mejor medida de seguridad”, concluye el reporte.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.