Engañan y roban empresas colombianas con un ataque cibernético usando correos empresariales

Una nueva campaña de cibertatque se ha registrado en Colombia crando una alerta en las empresas del país ya que se está robando información privada sin posibilidad de retorno a ella.

La compañía de ciberseguridad Eset encontró la falla y explicó que la campaña distribuye Remcos, un software utilizado por ciberdelincuentes para robar información sensible. La campaña fue detectada en marzo de este año, afectando principalmente a sectores de construcción, servicios automotores, entidades gubernamentales y también, a usuarios particulares en Colombia.

El ataque inicia con la distribución de correos electrónicos conocidos como spear phishing que aparentan ser mensajes legítimos de entidades reconocidas como bancos, financieras y empresas de mensajería.

Estos correos contienen archivos adjuntos maliciosos con excusas como notificaciones de envíos o asuntos jurídicos urgentes.

“Los ciberdelincuentes seleccionan a sus víctimas tras una investigación y planificación meticulosa”, afirmó Fernando Tavella, investigador de malware en ESET Latinoamérica.

Si los usuarios caen en el engaño y descargan el archivo adjunto, instalan en sus dispositivos el troyano Remcos. Este software tiene capacidades como capturas de pantalla, grabación de teclas pulsadas, grabación de audio, manipulación de archivos, y ejecución de comandos y scripts en los dispositivos infectados.

La información recopilada se envía a un servidor controlado por los atacantes quienes la roban y la usan para seguir propagando el virus a otros usuarios con los datos o fuentes de datos sustraídos.

Remcos es una herramienta de administración remota legítima pero, debido a sus características, ha sido explotada por actores maliciosos para espionaje y otras actividades ilícitas”, dijo Tavella.

ESET ha observado que los correos maliciosos suelen venir de direcciones que suplantan identidades de renombre, haciendo difícil para la víctima identificar el engaño.

Eset recomienda revisar meticulosamente la dirección de correo del remitente, el nombre de la persona que lo envía y analizar el contenido en busca de información rara como fallas de ortografía o información que no es congruente con las necesidades de la compañía.

Además, consideran no descargar archivos adjuntos si se tiene alguna duda sobre su legitimidad. ”No abrir ningún email si hay motivos para dudar, ya sea del contenido o de la persona que lo envió”, aseguró Tavella.

Para evitar ser víctimas de estos ciberataques, se sugieren las siguientes medidas:

• No abrir enlaces sospechosos, ser cautelosos al descargar archivos comprimidos de fuentes no confiables.
• Mantener equipos de computo y aplicaciones actualizados a la versión más reciente.
• Tener soluciones de seguridad confiables y actualizadas en los dispositivos de la empresa. Incluyendo a las personas que trabajan como freelance.

La precisión con que los ciberdelincuentes han diseñado esta campaña sugiere un conocimiento profundo sobre sus objetivos.

“Hemos encontrado similitudes entre esta campaña y otras documentadas recientemente en la región, en particular en Colombia. Esto nos lleva a pensar que puede tratarse del mismo grupo detrás de ambas”, concluyó Tavella.

En mayo de 2017, el mundo fue testigo de uno de los ataques cibernéticos más devastadores de la historia: WannaCry.

Este ataque, perpetrado por un ransomware (secuestro de datos), afectó a más de 200.000 computadoras en 150 países. Las principales víctimas fueron grandes empresas y organizaciones como el Servicio Nacional de Salud del Reino Unido, Telefónica en España y FedEx en Estados Unidos.

WannaCry aprovechó una vulnerabilidad en sistemas operativos Windows, conocida como EternalBlue, que había sido descubierta y explotada por la Agencia de Seguridad Nacional de Estados Unidos. Una vez que el ransomware infectaba una computadora, cifraba todos los archivos y mostraba un mensaje exigiendo un rescate en bitcoins para desbloquearlos.

El impacto económico fue significativo, con estimaciones de pérdidas que alcanzaron los miles de millones de dólares. Varias empresas tuvieron que interrumpir sus operaciones, lo que provocó un caos en sectores críticos como la salud y las telecomunicaciones.

El ataque también puso de relieve la importancia de mantener actualizados los sistemas operativos y de tener copias de seguridad regulares. Pese a que Microsoft lanzó un parche de seguridad dos meses antes del incidente, muchas organizaciones no habían actualizado sus sistemas, lo que facilitó la propagación del ransomware.