Sophos X-Ops reportó este martes un nuevo ataque masivo de un grupo de atacantes originarios de Rusia, el cual terminó con robo de credenciales a casi 800 empresas y organizaciones mundiales. Dirigido a los sectores de gobierno, salud, energía e infraestructura crítica, el ataque fue realizado durante 51 días por los ciberdelincuentes.
Según el reporte de Sophos, el grupo envió más de 2.000 correos electrónicos de phishing, los cuales se “caracterizaban por una técnica inusual y altamente personalizada”, incrustar un logotipo del sitio web del objetivo en la propia página de phishing. Una vez abierto el correo por la víctima, se le pedía que ingresaran sus contraseñas en la página de inicio de sesión, simulando el propio sitio web de la empresa.
Lamentablemente para las víctimas, los atacantes filtraban las credenciales robadas a sus canales de Telegram, lo que permitía a más grupos hacer daños. Se indica también que los atacantes habrían obtenido el e-mail de las víctimas a través de un sitio web comunitario especifico de una organización, lo que permitió a Sophos X-Ops tener una alerta del ataque.
Uno de los investigadores de Sophos X-Ops, Andrew Brandt, obtuvo uno de esos correos falsos mientras se postulaba para la elección de la junta escolar local en Boulder, Colorado, EE. UU. Según reveló, el atacante se había intentado pasar por uno de sus compañeros candidatos, con un portal de inicio de sesión que parecía ser uno de su sitio web personal de campaña.
“Cualquiera que tenga su información de contacto disponible en línea necesita capacitación sobre cómo reconocer estos tipos de ataques y herramientas como la autenticación multifactor en el correo electrónico y otras cuentas actúan como una red de seguridad contra el phishing”, comentó Brandt.
