Tenga cuidado con los correos electrónicos de suplantación de identidad

Colonial Pipeline se contentó con pasar desapercibido como el principal oleoducto de combustible en los Estados Unidos, pero luego fue golpeado por un ataque de ransomware que interrumpió gravemente las operaciones, y su nombre apareció en los titulares. Buscando aprovechar la situación y el reconocimiento de nombre recién descubierto, los piratas informáticos esperan engañar a las víctimas con correos electrónicos de phishing disfrazados de actualizaciones del sistema necesarias.

Esto es parte de las consecuencias del ataque a una pieza de infraestructura crítica y la notoriedad no deseada que viene con él. Colonial Pipeline opera más de 5.500 millas de tuberías que suministran 100 millones de galones de combustible en 14 estados diferentes y siete aeropuertos. El ataque provocó una escasez temporal de gasolina, así como un aumento en los costos de combustible en la bomba.

Según los informes, Colonial Pipeline desembolsó $ 5 millones en fondos extorsionados a los piratas informáticos responsables, a cambio de una herramienta de descifrado para que pudiera recuperar sus datos y volver a las operaciones normales. Ahora, a raíz de todo esto, hay una campaña de phishing destinada a engañar a los trabajadores de oficina para que instalen malware, con el pretexto de ser una actualización del sistema obligatoria enviada por los funcionarios de la empresa.

Aquí tienes un ejemplo de correo electrónico …

Correo electrónico de phishing

Fuente: Inky

Los correos electrónicos fraudulentos provienen de dominios recién creados que, a simple vista, pueden parecer legítimos. Los atacantes los registraron en NameCheap, un registrador que aparentemente es popular entre los piratas informáticos debido a los bajos costos y su aceptación de Bitcoin como pago.

Los ataques personalizados envían a los usuarios a un sitio web con el logotipo e imágenes de su empresa, para no despertar sospechas. A continuación, se indica a las víctimas que descarguen un archivo llamado “Ransomware_Update.exe” y luego lo instalen. Eso sería un gran error. En realidad, no es una actualización de seguridad, sino una herramienta de penetración que los actores malintencionados utilizan para instalar malware, incluido el ransomware.

Hay un informe de seguridad que sugiere que alrededor de un tercio de todos los ataques de ransomware aprovechan Cobalt Strike. Es popular y, lamentablemente, eficaz, y ahora se está utilizando para apuntar a trabajadores que pueden estar más familiarizados con Colonial Pipeline y el concepto de ransomware debido a eventos recientes.

Esta última campaña de phishing de ransomware también se aprovecha del deseo de las personas de ayudar a su equipo de TI a mantener seguros sus sistemas. Por lo tanto, es fácil imaginar que esta sea una campaña efectiva, desafortunadamente, aunque no está claro cuántas personas se han enamorado de ella.

Si es un administrador de TI, es posible que desee enviar un memorando para alertar a los trabajadores sobre este tipo de fraude y ofrecer consejos sobre las mejores prácticas para evitar el ransomware en general. Y, por otro lado, si alguien recibe un correo electrónico inesperado indicándole que instale software, primero debe consultar directamente con el personal de TI.

Deja una respuesta