La pandemia del coronavirus (COVID-19) aceleró la adopción y el crecimiento de las herramientas de colaboración en equipo. Una encuesta de Gartner de 2021 encontró que 80% de los empleados usaban herramientas como Slack y Microsoft Teams para mantener la productividad y comunicarse rápidamente sobre problemas laborales urgentes.
Estas plataformas de colaboración en equipo resultaron invaluables para las fuerzas de trabajo remotas e híbridas durante los últimos dos años, y están aquí para quedarse.
Se espera en 2022 un gran ataque de ransomware que comience realizando una campaña de phishing a través de una de estas plataformas de colaboración. El phishing es una de las formas más comunes de obtener acceso inicial a una red en ataques de ransomware. Debido a que estas aplicaciones son parte de las actividades diarias de los empleados es muy probable que los hackers intenten atraparlos con la guardia baja a través de mensajes engañosos en estas plataformas.
En Slack, por ejemplo, los intrusos pueden enviar mensajes falsos con enlaces, archivos maliciosos o solicitudes de información privada si obtienen acceso a la URL de webhook única del canal. Si un usuario hace clic en el enlace incorrecto o sin saberlo abre un archivo sospechoso y el daño está hecho. Una vez obtenido el acceso intentarán moverse lateralmente dentro de una red corporativa y aumentar los privilegios para que finalmente puedan cifrar servidores y estaciones de trabajo.
USO DE “DEEP LEARNING” PARA CREAR MENSAJES DE PHISHING CONVINCENTES
Investigadores en seguridad se pusieron a trabajar y se dieron cuenta del poder del “deep learning” (aprendizaje profundo) en 2021, cuando las pruebas demostraron que la inteligencia artificial podía escribir mejores correos electrónicos de phishing que los humanos. Spear phishing es un ataque más específico centrado en un individuo o grupo en particular dentro de una organización. Si bien los mensajes de phishing genéricos son más fáciles de detectar, la naturaleza altamente específica del phishing selectivo hace que sea más difícil de descubrir. Estos correos electrónicos suelen hacer referencia a nombres específicos y sus roles dentro de la organización, además de hacerse pasar por ejecutivos de alto nivel de la empresa o socios proveedores de confianza.
Los experimentos involucraron a investigadores de seguridad que enviaron mensajes de phishing a 200 colegas. Los mensajes fueron elaborados tanto por humanos como por modelos de deep learning. Los resultados mostraron que los mensajes escritos con GPT-3 (modelo de lenguaje de OpenAI, que es capaz de programar, diseñar y hasta conversar como humano) fueron más efectivos que los humanos para persuadir a los destinatarios de hacer clic en los enlaces que contenían.
El deep learning es un campo de la IA (Inteligencia Artificial) que utiliza redes neuronales para extraer características de alto nivel de los datos. Los ciber atacantes podrán usar plataformas de deep learning para obtener información personal de las redes sociales y otras fuentes para generar correos electrónicos de phishing aún más personalizados.
LA APARICIÓN DE LOS DEEPFAKES EN EL PHISHING
Los deepfakes son archivos de audio o video sintéticos generados mediante algoritmos de deep learning. La mayoría de las personas reconoce el uso de esta tecnología de forma inofensiva para crear videos divertidos, a menudo reemplazando la cara de una persona con otra en un video existente. Sin embargo, hay usos mucho más peligrosos de esta tecnología.
Una posibilidad en 2022 es la aparición del phishing profundo (deep phishing). El cibercrimen creará audio o video haciéndose pasar por un CEO, propietario u otro empleado de alto nivel de la empresa para que las personas divulguen información confidencial o tomen otra acción deseada que podría conducir a la extorsión, la apropiación de cuentas o la extracción de datos.
La probabilidad de ser engañado por un mensaje de correo de voz que suena exactamente como un líder de la empresa es muy alta. El mismo destino le depara al video, dado que los directores ejecutivos y los propietarios suelen tener una fuerte presencia pública esto proporciona gran cantidad de datos que pueden usar a favor los atacantes.
Las apariciones en video de seminarios web, los podcasts y otros medios se pueden usar como entradas para ayudar a algoritmos de deep learning a generar videos o audio con mayor precisión haciéndose pasar por alguien.
SUPLANTACIÓN DE IDENTIDAD EN LA CADENA DE SUMINISTRO
Varios ataques cibernéticos recientes destacan por buscar explotar eslabones débiles en las cadenas de suministro para comprometer objetivos altamente lucrativos.
Las campañas de phishing se están dirigiendo cada vez más a terceros, incluidos socios, vendedores y proveedores en 2022. Vulnerar una cuenta de correo electrónico en ellos puede comenzar el aprovechamiento de las relaciones de confianza en terceros para enviar correos electrónicos maliciosos a objetivos atractivos o de alto nivel en las organizaciones con las que interactúan.
El dominio del socio o proveedor a menudo será de confianza de forma predeterminada en la empresa objetivo, lo que hace que sea mucho más difícil para una puerta de enlace de correo electrónico segura marcar o detectar una dirección de correo electrónico falsificada o correos electrónicos de phishing.
El phishing en la cadena de suministro es una posibilidad incluso sin el compromiso de la cuenta de un tercero. Simplemente falsificar a un socio puede ser suficiente para engañar a alguien y obtener acceso a la red o información adicional como un número de cuenta bancaria u otra información personal que se puede usar en un ataque de phishing selectivo.
GRUPOS DE RANSOMWARE EN EVOLUCIÓN
El vínculo entre el phishing y el ransomware es tan fuerte que es importante intentar predecir cómo se desarrollarán estos ataques en los próximos meses. La aparición de BlackCat a fines de 2021 sirvió como la primera señal de advertencia de qué esperar.
El ransomware siempre se ha centrado en la extorsión: en su forma más temprana, las tácticas se centraron en aprovechar el miedo que se genera al cifrar servidores, archivos y estaciones de trabajo, ocasionando que las víctimas paguen. En los últimos dos años se agrego una doble extorsión amenazando con la publicación de los datos obtenidos.
En 2022, se espera que los grupos de ransomware agreguen otra capa a sus tácticas de extorsión para presionar aún más a las víctimas para que realicen pagos. La triple extorsión agrega la amenaza de un ataque DDoS en la infraestructura de red de las víctimas. En un mundo donde el tiempo de inactividad es increíblemente costoso, muchas organizaciones considerarán pagar para evitar esta consecuencia.
Otra evolución a esperar es que el cibercrimen se desplace cada vez más hacia otras criptomonedas para recibir pagos de rescate. Bitcoin se puede rastrear, y las fuerzas del orden emplean varias técnicas analíticas para asociar direcciones Bitcoin a direcciones IP. Teniendo en cuenta la naturaleza dominante de esta criptomoneda y sus vulnerabilidades de privacidad, espere ver más ciber actores exigiendo pagos a través de monedas con fuertes capacidades de privacidad como Monero y Zcash.
MÁS POR VENIR…
Eso concluye la primera parte de esta serie de dos partes sobre ataques en correo electrónico y predicciones de phishing para 2022. Si hay algo que aprender aquí, es que el phishing evolucionará para convertirse en una amenaza aún más sofisticada. Confiar solo en empleados conscientes de la seguridad no será suficiente.
Las empresas necesitarán una solución de seguridad de correo electrónico avanzada y de nueva generación como parte de su estrategia de seguridad para ayudar a combatir las amenazas modernas.
En NEKT podemos ayudarte a estar preparado para enfrentar este reto, contamos con tecnología de punta que utiliza inteligencia artificial para detectarlas y mitigarlas. ¡Contáctanos!
IronScales Blog – Febrero 2022