Detectan campaña BEC rusa, o timo del CEO, en 40 países

Un grupo ruso apodado Cosmic Lynx inició más de 200 campañas de Business Email Compromise (BEC), la estafa que popularmente se conoce como “el timo del CEO”, dirigidas a cientos de empresas multinacionales, según lo descubierto por la firma de seguridad Agari.

Se ha revelado que Cosmic Lynx ha estado lanzando campañas en más de 40 países, incluidos Estados Unidos, Canadá y Australia, desde 2019. El montante medio solicitado a los objetivos es de 1,27 millones de dólares.

Como muchos grupos que están detrás de las estafas BEC, Cosmic Lynx se dirige altos a perfiles directivos que desempeñan cargos de managing director (28% de los datos), vicepresidente (24%), director general (23%), CEO (8%), director financiero (7%), presidente (7%) y otros (4%).

Para engañar a estos objetivos, el grupo ciberdelincuente utiliza un doble esquema de suplantación: primero se hacen pasar por el CEO de la empresa y luego por un abogado legítimo de un bufete Madridon sede en Reino Unido.

Primero, los atacantes, haciéndose pasar por el CEO de la compañía, envían un correo electrónico a un empleado objetivo informándole de la necesidad de un “asesor jurídico externo”. El correo electrónico indica que el asunto es urgente, en un intento de crear esa sensación de apremio.

Si el empleado objetivo responde al email, se le pedirá que intercambie correos electrónicos con una cuenta de correo electrónico de un abogado que ha sido suplantado. Luego se le pedirá al empleado que envíe dinero a cuentas que supuestamente están conectadas al bufete de abogados pero que en realidad son cuentas mula controladas por el grupo. Las solicitudes de pago ascienden a millones de dólares.

La mayoría de los ataques utilizan cuentas de correo electrónico gratuitas y dominios que imitan la infraestructura segura de correo electrónico y de red (por ejemplo, secure-mail-gateway[.]cc, encrypted-smtp-transport[.]cc, mx-secure-net[.]com). El grupo también registró algunos de sus dominios con alojamiento blindado y un proveedor de dominio anónimo.

Además de BEC, el grupo también ha sido relacionado con otros esquemas maliciosos como la propagación de Emotet, Trickbot y malware de fraude de clicks. También se dice que están detrás de un mercado de tarjetas y websites de documentos falsos.

Las pérdidas por BEC ascendieron a 1.700 millones de dólares en pérdidas expuestas en 2019, según el FBI. La oficina investigó recientemente y llevó a Estados Unidos a Ramón Olorunwa Abbas, un residente de Dubai vinculado a los principales esquemas de fraude y BEC.

Combatir el BEC: consejos de Trend Micro

Los intentos de BEC detectados por Trend Micro™ Cloud App Security pasaron de más de 100.000 en 2018 a casi 400.000 en 2019, lo que supone un aumento del 271%. Como una amenaza que causa pérdidas financieras masivas a diferentes industrias y países, el continuo crecimiento del número de campañas BEC podría ser desconcertante para las empresas.

Es interesante apuntar este aumento considerando que muchas campañas BEC no necesitan emplear tácticas innovadoras para que tengan éxito. La suplantación de las figuras clave de la empresa, la implicación de la urgencia y el uso de los acontecimientos actuales como señuelo (como la pandemia de coronavirus) son solo algunas de las estrategias probadas y explotadas por los ciberdelincuentes para engañar a los empleados desprevenidos. Con el constante desarrollo por parte de los ciberdelincuentes de nuevas técnicas como el uso de deepfakes, nuevos canales y diversos formatos de archivos adjuntos, BEC continúa mutando en una amenaza aún más grave.

Para evitar el riesgo de pérdidas financieras causadas por los esquemas BEC, se aconseja a las empresas que eduquen a sus empleados sobre las siguientes buenas prácticas:

— Verificar las solicitudes de pago de transferencias de fondos confirmando con el remitente por otros medios además del correo electrónico. También se aconseja establecer un proceso de aprobación secundario.

— Examinar los correos electrónicos para detectar direcciones de email falsas. Algunas campañas utilizan correos electrónicos que se asemejan mucho a las direcciones reales, excepto por una ligera diferencia en algunos caracteres.

— Mantenerse actualizado acerca de las últimas estafas por correo electrónico para detectarlas de manera más fácil y rápida.

Fotografía: Priscilla Du Preez via Unsplash

Las soluciones de Trend Micro

Contacto | Diario TI es una publicación de MPA Publishing International Ltd.