Los ataques de correo electrónico nigerianos se convierten en una amenaza creíble y peligrosa

Con los años, los ciberdelincuentes provenientes de Nigeria han desarrollado una reputación de aficionados y crudos. Spam “419” correos electrónicos que son fáciles de detectar e ignorar, pero los actores de amenazas en el país ahora están desplegando un sistema altamente sofisticado compromiso de correo electrónico comercial (BEC), y son una amenaza viva y peligrosa para las organizaciones de todo el mundo, según Peter Renals, del departamento de investigación de amenazas de la Unidad 42 de Palo Alto Networks.

Ataques BEC han surgido como una de las amenazas más rentables y prominentes que enfrentan las organizaciones: representan más de $ 26 mil millones (£ 20,6 mil millones / € 23,4 mil millones) de pérdidas a nivel mundial desde 2017, según estadísticas recientes del FBI, y eclipsan las pérdidas globales estimadas de seguridad cibernética de alto perfil incidentes como WannaCry y NotPetya.

La Unidad 42 ha estado rastreando a un grupo de ciberdelincuentes nigerianos, denominados colectivamente SilverTerrier, desde sus humildes comienzos hace seis años como unas pocas personas que experimentaban con ataques de malware de productos básicos, para abarcar a un grupo de más de 480 actores y grupos de amenazas que ahora operan fuera del país.

“En cinco años, de 2014 a 2019, los actores de SilverTerrier han pasado de ser adversarios novatos a ciberdelincuentes maduros”, dijo Renals. en un blog de divulgación.

“Según nuestros últimos hallazgos, vimos un aumento del 1163% en los ataques BEC contra la industria de servicios legales y profesionales en 2019. Si bien no tenemos una idea de la causa raíz, este salto sin embargo demuestra un cambio significativo en las prácticas de focalización entre los actores de SilverTerrier”.

La Unidad 42 reveló que el grupo había enviado miles, a veces cientos de miles de ataques BEC cada mes durante 2019, un aumento significativo en su actividad en 2018, y que prácticamente todos sus ataques protocolos de correo electrónico apalancados para llegar a las redes objetivo.

Protocolo simple de transferencia de correo (SMTP) el tráfico representó el 69% de los ataques, Protocolo de oficina de correos 3 (POP3) y Protocolo de acceso a mensajes de Internet (IMAP) representaron el 26% y el 2,8%, lo que refleja una tendencia hacia SMTP como estándar de la industria. Más allá de esto, la navegación web representó el 1.9% de los ataques, y los ataques a través del tráfico del protocolo de transferencia de archivos (FTP) representaron el 0.3%.

Ladrones de información

Una vez que se ha infiltrado una red, el grupo tiende a usar ladrones de información y herramientas de administración remota (también conocidas como troyanos de acceso remoto o ratas), y es aquí donde la Unidad 42 dijo que SilverTerrier había evolucionado hasta un punto donde debe considerarse a la par con otros grupos de amenaza establecidos.

Durante 2019, el servicio de análisis de malware WildFire de Palo Alto encontró más de 27,000 muestras de malware SilverTerrier, la mayoría de ellas herramientas básicas que emplean diversas técnicas de ofuscación para engañar a los productos antivirus heredados. Una comparación de muestras con VirusTotal mostró una tasa de detección promedio de 57.3%.

SilverTerrier actualmente usa una serie de familias populares de ladrones de información sobre productos básicos contra sus víctimas, incluidos AgentTesla, AzoRult, Lokibot, Pony y PredatorPain, aunque su uso de ladrones de información se ha reducido desde 2017, posiblemente debido a la falta de nuevas herramientas y avances en El panorama de seguridad los hace menos efectivos.

Deberías leer:   Facebook, Google, el cifrado de otros se verá amenazado por un nuevo proyecto de ley de EE. UU.

Su uso de ratas, que ofrecen a los delincuentes cibernéticos acceso remoto a cuentas comprometidas y suelen ser más sofisticadas que los ladrones de información, ha aumentado en los últimos cinco años. Se ha observado que SilverTerrier utiliza 13 ratas diferentes, de las cuales las más populares en este momento son NanoCore y Netwire, aunque también utiliza Adwind, DarkComet, Hworm Imminent Monitor, Remcos, Revenge y WSHRat.

Renals dijo que el cambio de ladrones de información a ratas indicó las crecientes habilidades técnicas del grupo, junto con la creciente efectividad de tales herramientas. Dijo que esperaba que la tendencia continuara en 2020.

La Unidad 42 descubrió que SilverTerrier era en gran medida indiscriminado en su focalización, con todos los segmentos de la industria en riesgo, aunque la alta tecnología y los servicios profesionales y legales fueron los más afectados.

Los investigadores también han podido atribuir más fácilmente actividades específicas a individuos que operan dentro de SilverTerrier de lo que generalmente se puede hacer con otros grupos avanzados de amenazas persistentes (APT).

Se sabe que Renals se centró en un individuo específico, el actor X, uno de los miembros más activos del grupo, tiene un título universitario de la Universidad Federal de Tecnología de Owerri en el sureste de Nigeria y sirvió en el Cuerpo Nacional de Servicios Juveniles de Nigeria en Nigeria. Ahora en sus 40 años, está casado y tiene tres hijos y todavía vive en Owerri, donde se hace pasar por un legítimo empresario y consultor de TI.

El actor X mantiene cuentas activas en las redes sociales y los contactos y amigos incluyen figuras prominentes en su comunidad, incluidos algunos que trabajan en la aplicación de la ley.

Ha registrado más de 480 dominios a través de más de 90 cuentas de correo electrónico, tanto para apoyar a otros delincuentes como para sus propias actividades, y ha producido más de 4,000 muestras de malware utilizadas más de 363,000 veces contra clientes de Palo Alto. La Unidad 42 dijo que sus habilidades técnicas han mejorado rápidamente con el tiempo.

“La combinación de todas estas características permite una comprensión refinada de la amenaza dirigida a nuestros clientes”, dijo Renals. “Específicamente, el adversario es una persona, no una vulnerabilidad o una pieza de software, que tiene una educación técnica universitaria, ha invertido el tiempo para desarrollar una red de alias en línea necesarios para sus campañas, y está siguiendo una estrategia de implementación de malware indiscriminadamente , y a escala, con la motivación de generar los ingresos necesarios para mantener a su familia “.

Dijo que a medida que avanza 2020, la amenaza más importante que enfrentarán las organizaciones será el malware de productos básicos implementado en apoyo de sofisticados esquemas BEC, como lo demuestra la aparición del primer desarrollador nigeriano de herramientas de productos básicos y la creciente adopción de ratas entre los actores de SilverTerrior.

“Como resultado, alentamos encarecidamente a los equipos de defensa de la red en todas las verticales de la industria a tomar nota de estas tendencias y garantizar que el personal reciba la capacitación necesaria para identificar y erradicar las herramientas más populares empleadas por este grupo de amenazas”, dijo Renals.

Más detalles sobre la investigación de la Unidad 42, incluidas más estadísticas sobre su uso de ladrones de información y ratas, detalles sobre lo que podría ser el primer desarrollador de malware activo de Nigeria e indicadores de compromiso (IoC), se puede leer aquí.