Su principal ataque consiste en enviar correos informativos que parecen proceder de fuentes fiables, como la OMS y los CEO, junto a archivos maliciosos que infectan los ordenadores
Grupos de ciberdelincuentes y de hackers financiados por gobiernos de todo el mundo están aprovechando la actual pandemia del coronavirus (COVID-19) para espiar a sus respectivos adversarios, según alertan varias compañías de inteligencia de amenazas de ciberseguridad. En las últimas semanas, varios grupos de hackers vinculados a los gobiernos chino y ruso, entre otros, han estado enviando archivos maliciosos adjuntos en correos electrónicos con información sobre la pandemia.
Gobiernos
Las empresas de ciberseguridad FireEye y Check Point han informado de que dos grupos de hackers vinculados al Gobierno chino atacaron a Vietnam, Filipinas, Taiwán y Mongolia. Su técnica consiste en archivos adjuntos de correo electrónico con información médica real sobre el coronavirus acompañada de malware como Sogu y Cobalt Strike, según el analista de inteligencia de FireEye Ben Read. El experto afirma: “Las verdaderas declaraciones de líderes políticos y los consejos auténticos, probablemente tomados de fuentes públicas, sirvieron como señuelo para quien se preocupaba por la enfermedad”.
Un grupo ruso conocido como TEMP.Armageddon envió correos electrónicos de spear-phishing a objetivos ucranianos. El spear-phishing es una táctica que los hackers usan para enviar enlaces maliciosos específicamente diseñados que engañan a los objetivos para que hagan clic, lo que les permite infectarlos de forma inadvertida.
Los analistas de FireEye también sospechan que los hackers norcoreanos están detrás de un reciente ataque de este tipo contra un objetivo surcoreano. Al igual que China, Corea del Sur se ha visto especialmente afectada por el brote. El correo electrónico de phishing tenía como asunto en coreano “Carta sobre el coronavirus”.
“La gente espera recibir información de fuentes gubernamentales, y por eso es muy probable que abra y descargue los documentos adjuntos para ver lo que pone. Resulta muy útil empezar así un ataque. El brote del coronavirus es un gran vehículo para los ciberdelincuentes, especialmente para los que dependen del phishing para iniciar sus ataques”, explica el jefe de inteligencia de amenazas en Check Point, Lotem Finkelstein.
Criminales
Además de la actividad en curso de los hackers financiados por gobiernos, los ciberdelincuentes particulares también se están aprovechando del caos de la situación actual. Estos hackers ya se habían aprovechado de la ansiedad que nació a raíz del Ébola, el Zika y el SARS para ganar dinero.
En un comunicado, FireEye afirma: “Hemos detectado a actores con motivación económica que utilizan phishing con la temática del coronavirus en muchas campañas, con un gran aumento de volumen mensual desde enero hasta hoy. Esperamos el uso continuo de señuelos con la temática del coronavirus por parte de los atacantes con motivos económicos tanto oportunistas como específicos debido a la relevancia global del tema”.
Los blancos (o víctimas) “han aumentado su interés por las noticias y las novedades relacionadas con el virus, por lo que probablemente resultan más susceptibles a la ingeniería social que los engaña a hacer clic en enlaces maliciosos”, explicaron los investigadores de la empresa de ciberinteligencia RiskIQ.
Aunque es relativamente simple, la técnica de phishing (enviar un enlace o archivo destinado a infectar a cualquiera que haga clic) es el tipo de ataque más común y exitoso año tras año. Los hackers que se intentan aprovechar el coronavirus se han dirigido tanto a individuos como a empresas con correos electrónicos falsos que afirmaban proceder de organizaciones confiables como los Centros para el Control de Enfermedades de EE. UU. (CDC) y la Organización Mundial de la Salud (OMS).
Los correos electrónicos de phishing prometen desde información sobre medicamentos hasta equipos médicos. Pero, en realidad, su objetivo es lanzar el malware o robar contraseñas intentando sacar provecho del caos.
Los hackers buscan objetivos en todo el mundo, pero algunos se han centrado en los países más afectados. Italia, que hasta ahora ha visto la peor erupción del contagio fuera de Asia, ha sido el objetivo de una campaña de phishing contra empresas. Los correos electrónicos falsos, que fingen ser de la OMS, dicen ofrecer medidas de precaución en forma de un documento de Microsoft Word, pero lo que en realidad se descarga es un troyano bancario llamado Trickbot destinado a robar grandes sumas de dinero.
Aunque el remitente del correo electrónico afirma ser de la OMS, el dominio del remitente no coincide con el sitio web who.int de la OMS.
Japón, otro país que se enfrenta a un gran brote, también ha visto campañas de hackeo selectivas que pretendían ofrecer información sobre el coronavirus de las autoridades sanitarias. Sobre este asunto, los investigadores de la empresa cibernética Proofpoint escribieron: “Los atacantes también atentan contra la credibilidad interna de las empresas. Hemos visto un ataque que utilizaba un correo electrónico con el asunto Coronavirus diseñado para parecerse a un correo electrónico interno del presidente de la compañía a todos los empleados… Este correo electrónico está muy bien elaborado y pone el verdadero nombre del presidente de la empresa”.
La mejor defensa
Las plataformas online se han convertido en el estándar de facto para demostrar el elevado interés de la gente sobre la propagación de esta enfermedad. Así que no es de extrañar que también hayan empezado a aparecer portales maliciosos que piden descargar una aplicación para difundir el malware AZORult para Windows. Dicha aplicación roba datos personales y financieros, criptomonedas y cualquier otra cosa de valor que haya en una máquina infectada.
No es la primera vez que los hackers utilizan los titulares y la ansiedad colectiva para tratar de engañar a las víctimas, y no será la última. La mejor defensa consiste en mantener actualizada la tecnología, no descargar software ni hacer clic en enlaces de personas desconocidas y limitarse a consultar las fuentes autorizadas de noticias sobre temas tan importantes.