Los compromisos de la cadena de suministro financiero, una subcategoría de BEC, parecen ser ascendentes y altamente efectivos. Abnormal Safety ha identificado a un actor de amenazas pernicioso que ha denominado Firebrick Ostrich, que está utilizando un subtipo de estos gambitos para engañar a los objetivos para que realicen pagos.
La firma previamente identificada cuatro tipos de compromiso de la cadena de suministro financiera, que prescinden de la suplantación de los ejecutivos internos de la empresa objetivo y en su lugar visten el atuendo de uno de los proveedores de la empresa. Irregular Security dice que Firebrick Ostrich ha utilizado uno de estos tipos de compromisos de la cadena de suministro financiera (ataques de reconocimiento de terceros) para cometer 346 campañas BEC que datan de abril de 2021, haciéndose pasar por 151 organizaciones y utilizando 212 dominios registrados maliciosamente, casi todos en los EE. UU.
Crane Hassold, director de inteligencia de amenazas en Abnormal Safety, dijo que la cantidad de dinero que se puede obtener de la suplantación de identidad externa de terceros es tres veces mayor que las vulnerabilidades tradicionales de BEC, y que su éxito se debe al déficit de conciencia, ya que las empresas y sus empleados están capacitados para buscar correos electrónicos que se hagan pasar por un ejecutivo interno, no un proveedor.
“Además, cuando observa el reconocimiento de terceros y otros ataques de la cadena de suministro financiera, la efectividad del señuelo está en la cantidad de información que pueden incluir en los correos electrónicos, información que los hace parecer mucho más realistas que otras formas de BEC”, dijo.
VER: Política de seguridad de dispositivos móviles (Top quality de TechRepublic)
Hassold señaló que se han perdido decenas de miles de millones de dólares debido a las BEC en un año determinado, y que las BEC son una de las principales causas de pérdidas financieras en las empresas desde 2016.
“Los BEC realmente explotaron y alcanzaron su punto máximo en los primeros seis meses del año pasado, impulsados por atacantes que se hicieron pasar por entidades externas, un gran cambio porque, desde su creación, los BEC se han hecho pasar principalmente por entidades internas”, dijo. “Los actores de BEC han identificado a terceros, incluidos los proveedores, como un eslabón débil en la cadena”.
Salta a:
Grandes ganancias de la suplantación de identidad de baja tecnología
Desde la perspectiva del delito cibernético como negocio, la sobrecarga necesaria para lanzar ataques de reconocimiento de terceros es baja, según Hassold requiere reconocimiento básico y recopilación de información, sin infraestructura subyacente ni desarrolladores para mantener y mejorar el malware. “Se trata simplemente de enviar correos electrónicos, por lo que desde la perspectiva basic es fantásticamente lucrativo”, dijo.
Los exploits de suplantación de identidad de terceros, la mayoría de los cuales se originan en África Occidental, según Irregular, utilizan un proceso de tres pasos (Figura A).
Figura A
- Investigación de código abierto sobre las relaciones entre proveedores y clientes, que podrían provenir de gobiernos estatales y locales que ofrecen información detallada sobre contratos existentes y anteriores, o el sitio website de un proveedor donde la empresa ha mostrado los nombres o logotipos de sus clientes, o incluso buscar en Google los nombres de las empresas para ver posibles conexiones.
- Infraestructura de ataque: El grupo registra un dominio, utilizando Namecheap o Google como registrador que se hace pasar por el dominio del proveedor y falsifica las direcciones de correo electrónico de los empleados de cuentas por pagar dentro de la empresa proveedora.
- Correo electrónico dirigido a los clientes: El atacante envía un correo electrónico a los clientes del proveedor preguntando sobre posibles facturas pendientes o proporcionando información actualizada de la cuenta donde se deben enviar los pagos futuros.
Atacar dentro de una semana de registrar el nombre de dominio
Según Irregular Security, el uso de dominios recién registrados por parte de Firebrick Ostrich destaca cómo los dominios jóvenes, junto con otros indicadores de comportamiento, puede utilizarse como una señal eficaz para identificar amenazas. Abnormal Stability informó que el 60% de los dominios registrados por Firebrick Ostrich fueron registrados el mismo día de la ejecución de la campaña BEC en la que están desplegados aproximadamente las tres cuartas partes de sus dominios se obtuvieron dentro de las 48 horas posteriores a un ataque, y el 89% de sus dominios se registraron dentro de la semana posterior a una campaña.
VER: Así es como los presupuestos de TI deberían llenar los fosos de ciberseguridad en 2023 (República Tecnológica)
Utilizando los dominios recién registrados, Firebrick Ostrich crea direcciones de correo electrónico que se hacen pasar por individual de cuentas de proveedores reales que luego utilizan para facilitar su ataque, con la cuenta principal comunicándose con un objetivo imitando al especialista serious en cuentas por cobrar de un proveedor. Las cuentas de correo electrónico complementarias, que pueden incluir ejecutivos financieros del proveedor, agregan una capa de autenticidad a sus ataques, según la empresa.
Solicitudes «razonables» y una táctica de juego largo
El informe de Abnormal Safety dice que el correo electrónico inicial en un ataque Firebrick Ostrich generalmente comienza con un saludo como el proveedor «lo aprecia mucho como un cliente valioso y queremos agradecerle por su negocio continuo», seguido de dos posibles solicitudes:
- La primera solicitud indica que al proveedor le gustaría actualizar la cuenta bancaria registrada con el cliente. El correo electrónico menciona que el proveedor no puede recibir pagos mediante cheque, por lo que los pagos ACH y transferencias bancarias son las únicas opciones disponibles.
- La segunda solicitud indaga sobre los pagos pendientes que se deben al proveedor. El correo electrónico indica que el proveedor ha perdido el rastro de las facturas abiertas porque su equipo de contabilidad no puede revisar las cuentas. En un correo electrónico, Firebrick Ostrich proporcionó más detalles, afirmando que el equipo de cuentas «no puede ingresar al servidor o a Oracle para revisar las cuentas o publicar los pagos que se hayan recibido».
“El pretexto fabricado de un problema técnico es una excusa común utilizada en muchos de los ataques de reconocimiento de terceros que vemos para explicar por qué un proveedor no puede acceder a su propio inventario de facturas, pero la adulación que se muestra aquí parece ser única. a este grupo BEC”, dijo Hassold.
Otra táctica es particularmente sigilosa porque no solicita el pago de una factura true, sino que simplemente solicita que se actualicen los detalles de la cuenta bancaria almacenada de un proveedor para que cualquier pago futuro se redirija a la nueva cuenta. Esto evita las señales de alerta de que los especialistas en cuentas por pagar pueden haber sido entrenado para notar, de acuerdo con Irregular Security. El juego más largo es que a los actores de amenazas se les pagará con la próxima factura, en lugar del proveedor serious.
Lo que hace que este grupo sea bastante único es que han tenido un éxito masivo, incluso sin la necesidad de comprometer las cuentas o realizar una investigación profunda sobre la relación proveedor-cliente. Usando bastante obvio tácticas de ingeniería socialpueden descubrir todo lo que necesitan para ejecutar una campaña BEC exitosa, sin invertir tiempo ni recursos significativos en la investigación inicial, según Abnormal Protection.
La mejor defensa es el cribado holístico
Hassold dijo que las tecnologías de marcado de correo electrónico que identifican indicadores estáticos no serán suficientes para defenderse de los ataques BEC recomendó una defensa más holística utilizando técnicas como el análisis del comportamiento para comprender la relación entre el remitente y los destinatarios. Esta estrategia holística también incorporaría información sobre el ecosistema de proveedores externos de la empresa objetivo y monitorearía tanto los ataques de suplantación de identidad específicos que suplantan a esos proveedores como el lenguaje y los artefactos sospechosos.
“Comprender qué tendencias se están viendo en el panorama general de las amenazas cibernéticas y asegurarse de que los empleados estén al tanto de esto es fundamental”, dijo. “Eso significa que cuando ven un ataque tipo Firebrick Ostrich con solicitudes de cambio de cuenta o mensajes sobre dificultades técnicas, ya existe una política interna para validar esas solicitudes fuera de línea con el proveedor mucho antes de que se realicen los cambios. Pensamos en los ataques cibernéticos como cosas muy sofisticadas, pero al last del día, la gran mayoría no es más que ingeniería social, tratando de manipular el comportamiento humano, haciendo que alguien haga algo que de otro modo no haría”.
Dado que es possible que aumenten los ataques de seguridad cibernética este año y que los actores de amenazas se vuelvan más sofisticados en sus métodos, este también podría ser un buen momento para ponerse el sombrero blanco. Aprende las cuerdas por $30 con estos nueve cursos de hacking ético ofrecido a través de TechRepublic Academy.
