El ataque BazarCall es cada vez más utilizado por los actores de amenazas de ransomware


BazarLlama o devuelve la llamada phishing
Imagen: Adobe Inventory

AdvIntel tiene liberado una nueva publicación sobre varios actores de amenazas que ahora usan BazarCall en un esfuerzo por crear conciencia sobre esta amenaza.

¿Qué es BazarCall y cómo funciona?

BazarCall, también conocido como phishing de devolución de llamada, es un método utilizado por los ciberdelincuentes para atacar a las víctimas a través de un elaborado phishing.

Todo comienza con un correo electrónico, como suele ser el caso. El actor de amenazas envía correos electrónicos de aspecto legítimo a los objetivos, fingiendo que se han suscrito a un servicio con pago automático. El correo electrónico contiene un número de teléfono en caso de que el objetivo quiera cancelar la suscripción y evitar pagarla. No hay otra forma de comunicarse con el servicio de suscripción que no sea haciendo una llamada telefónica.

Cuando las víctimas llaman al número de teléfono controlado por el actor de amenazas, se utilizan varios métodos de ingeniería social para convencer a las víctimas de que permitan el regulate de escritorio remoto a través de un application legítimo, supuestamente para ayudarlos a cancelar su servicio de suscripción sin ningún estrés.

Una vez que tiene el command de la computadora, el actor de amenazas usa herramientas legítimas como armas mientras finge ayudar con el acceso remoto al escritorio, aún usando técnicas de ingeniería social. En una nota interesante, las herramientas armadas anteriormente eran típicas del arsenal de Conti.

Una vez hecho esto, el actor de la amenaza tiene una puerta trasera funcional a la computadora de la víctima, que luego puede usarse para una mayor explotación (Figura A).

Figura A

Infografía del proceso BazarCall basada en la campaña Jörmungandr dirigida por el actor de amenazas Quantum.
Infografía del proceso BazarCall basada en la campaña Jörmungandr dirigida por el actor de amenazas Quantum. Imagen: AdvIntel

Varios actores de amenazas de ransomware en juego

Según AdvIntel, al menos «tres grupos de amenazas autónomos han adoptado y desarrollado de forma independiente sus propias tácticas de phishing dirigidas derivadas de la metodología de phishing de devolución de llamada».

El ataque de phishing de devolución de llamada está fuertemente relacionado con Conti, el infame actor de amenazas de ransomware que se dividió en varios grupos diferentes en 2021. Los tres grupos de amenazas que utilizan esta técnica de ataque están separados pero conectados.

VER: Política de seguridad de dispositivos móviles (Top quality de TechRepublic)

Silent Ransom, también conocido como Luna polilla, se convirtió en un grupo autónomo cuando Conti se escindió y ha demostrado ser exitoso. Según AdvIntel, Silent Ransom es el progenitor de todas las campañas de phishing posteriores a Conti, con un ingreso promedio cercano a la marca de ingresos de $ 10 mil millones de dólares (Figura B).

Figura B

Datos de ingresos objetivo para el grupo de amenazas Silent Ransom.
Imagen: AdvIntel

Las herramientas legítimas que utiliza este grupo de amenazas cuando opera sus operaciones de BazarCall son AnyDesk, Atera, Syncro, SplashTop, Rclone, SoftPerfect Community Scanner o SharpShares. Su correo electrónico de phishing inicial usurpa varios servicios legítimos como los servicios de Duolingo, Zoho o MasterClass.

Otra subdivisión de Conti, denominada Quantum, utiliza la técnica BazarCall. Este actor de amenazas se alía con la invasión rusa a Ucrania y es responsable de la atentado en costa rica. Según AdvIntel, este grupo invirtió mucho en la contratación de spammers, especialistas en OpenSource Intelligence (OSINT), operadores de centros de llamadas e intrusos en la pink. Los investigadores indican que «como un grupo altamente calificado (y muy probablemente afiliado al gobierno), Quantum pudo comprar conjuntos de datos de correo electrónico exclusivos y analizarlos manualmente para identificar empleados relevantes en empresas de alto perfil».

El tercer grupo de amenazas que united states la técnica BazarCall es Roy/Zeon. Sus miembros fueron los responsables de la creación de la Ransomware Ryuk. Este grupo tiende a apuntar solo al sector/industria más valioso.

Cambiando la victimología

Los investigadores de AdvIntel señalan que el phishing de devolución de llamada cambió drásticamente la victimología del ransomware para los grupos que lo usaban (Figura C).

Figura C

Targets de BazarCall por sector de actividad.
Targets de BazarCall por sector de actividad. Imagen: AdvIntel

La naturaleza dirigida de estas campañas de ataque aumentó los ataques contra finanzas, tecnología, authorized y seguros. Estas cuatro industrias se enumeraron en todos los manuales internos compartidos entre los ex miembros de Conti, pero la fabricación sigue siendo la industria más objetivo.

¿Por qué BazarCall es una revolución para los grupos de amenazas de ransomware?

Si bien existe un fraude similar con las estafas de soporte técnico, este enfoque de usar un centro de llamadas para infectar computadoras no se usó anteriormente en operaciones de ransomware.

Las campañas de ransomware, la mayoría de las veces, se basan en los mismos patrones de ataque y cambiar completamente el método de infección seguramente hace que aumente la tasa de éxito de la infección.

Además, solo se necesitan herramientas legítimas para obtener el acceso inicial a la computadora de destino y acceder a ella posteriormente. Esas herramientas generalmente no son marcadas como sospechosas por antivirus o soluciones de seguridad.

Todo esto convierte a BazarCall en una técnica muy interesante para los operadores de ransomware.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

¿Cómo protegerse de esta amenaza?

El correo electrónico inicial enviado por los atacantes ya debería levantar sospechas. Si bien se hace pasar por servicios legítimos, se envía desde servicios de correo electrónico de terceros y, a menudo, contiene algunos errores en su contenido o forma.

El hecho de que solo haya una forma de llegar al servicio de suscripción también es sospechoso, cuando cada proveedor de servicios siempre lo hace lo más fácil posible para el cliente, que generalmente puede elegir entre varias formas de llegar a los proveedores de servicios.

Se deben implementar soluciones de seguridad de correo electrónico para detectar dichos correos electrónicos de phishing, además de antivirus y computer software de seguridad de punto remaining.

Ningún usuario debe proporcionar acceso de escritorio remoto a nadie que no esté verdaderamente identificado y no sea de confianza. Si se hace y surge la sospecha, la computadora debe desconectarse inmediatamente de World-wide-web, se deben cambiar todas las contraseñas de los usuarios y se debe ejecutar un análisis completo con antivirus y soluciones de seguridad en el sistema. En caso de que la computadora sospechosa esté conectada a una pink corporativa, se debe contactar de inmediato al administrador del sistema y al equipo de TI para verificar la integridad de toda la purple.

La higiene básica también debe respetarse siempre: todos los sistemas operativos y el software deben estar siempre actualizados y parcheados, para evitar que se vean comprometidos por una vulnerabilidad común.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia authentic