Trend Micro alerta sobre Cosmic Lynx, un grupo ruso que ha lanzado más de 200 campañas BEC

Recomendados:  Haz que tu programa de seguridad del software tenga éxito Leer  La solución SAST para proteger la ciberseguridad de los bancos Webinar ondemand

La firma de seguridad ha analizado la forma de operar de in grupo ruso, llamado Cosmic Lynx, que inició más de 200 campañas de Business Email Compromise (BEC), la estafa que popularmente se conoce como “el timo del CEO”, dirigidas a cientos de empresas multinacionales, según lo descubierto por la firma de seguridad Agari. Estos ciberdelincuentes ha estado lanzando campañas en más de 40 países, entre ellos Estados Unidos, Canadá y Australia, desde 2019, y el montante medio solicitado a los objetivos es de 1,27 millones de dólares.

Como muchos grupos que están detrás de las estafas BEC, Cosmic Lynx se dirige altos a perfiles directivos que desempeñan cargos de managing director (28% de los datos), vicepresidente (24%), director general (23%), CEO (8%), director financiero (7%), presidente (7%) y otros (4%).

Según explican los expertos de esta compañía, para engañar a estos objetivos, el grupo ciberdelincuente utiliza un doble esquema de suplantación: primero se hacen pasar por el CEO de la empresa y luego por un abogado legítimo de un bufete Madridon sede en Reino Unido. Primero, los atacantes, haciéndose pasar por el CEO de la compañía, envían un correo electrónico a un empleado objetivo informándole de la necesidad de un "asesor jurídico externo". El correo electrónico indica que el asunto es urgente, en un intento de crear esa sensación de apremio.

Si el empleado objetivo responde al email, se le pedirá que intercambie correos electrónicos con una cuenta de correo electrónico de un abogado que ha sido suplantado. Luego se le pedirá al empleado que envíe dinero a cuentas que supuestamente están conectadas al bufete de abogados pero que en realidad son cuentas mula controladas por el grupo. Las solicitudes de pago ascienden a millones de dólares.

La mayoría de los ataques utilizan cuentas de correo electrónico gratuitas y dominios que imitan la infraestructura segura de correo electrónico y de red (por ejemplo, secure-mail-gateway[.]cc, encrypted-smtp-transport[.]cc, mx-secure-net[.]com). El grupo también registró algunos de sus dominios con alojamiento blindado y un proveedor de dominio anónimo.

Además de BEC, el grupo también ha sido relacionado con otros esquemas maliciosos como la propagación de Emotet, Trickbot y malware de fraude de clics. También se dice que están detrás de un mercado de tarjetas y websites de documentos falsos.

Qué hacer para evitar este tipo de ataques
-- Verificar las solicitudes de pago de transferencias de fondos confirmando con el remitente por otros medios además del correo electrónico. También se aconseja establecer un proceso de aprobación secundario.

-- Examinar los correos electrónicos para detectar direcciones de email falsas. Algunas campañas utilizan correos electrónicos que se asemejan mucho a las direcciones reales, excepto por una ligera diferencia en algunos caracteres.

-- Mantenerse actualizado acerca de las últimas estafas por correo electrónico para detectarlas de manera más fácil y rápida.

-- Emplear soluciones de seguridad respaldadas por inteligencia artificial y machine learning también pueden ayudar a bloquear este tipo de amenazas.