El grupo de cibercriminales EncryptHub ha llevado a cabo una serie de ataques a gran escala utilizando phishing como principal vector de infección. A través de correos electrónicos maliciosos, han logrado comprometer las redes de organizaciones en todo el mundo, desplegando ransomware e infostealers para robar datos sensibles y cifrar sistemas críticos.
Alcance del ataque
EncryptHub, también conocido como Larva-208, ha comprometido las redes de 618 organizaciones a nivel mundial, afectando principalmente a empresas de los sectores financiero, gubernamental, tecnológico y de salud. Aunque no se han divulgado los países específicos de las víctimas, la naturaleza global de estos ataques sugiere que las organizaciones afectadas provienen de diversas regiones. La amplia gama de sectores comprometidos resalta el riesgo universal que enfrentan las empresas de todo el mundo.
Los ataques de Larva-208 involucran phishing por SMS, phishing de voz y páginas de inicio de sesión falsas que imitan productos VPN corporativos como Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet y Microsoft 365.
Método de ataque
- Archivos adjuntos maliciosos: Documentos de Word o Excel con macros que instalan malware.
- Enlaces fraudulentos: Redirecciones a sitios falsos que capturan credenciales.
- Mensajes urgentes: Correos que aparentan ser de proveedores, bancos o entidades gubernamentales para generar una reacción rápida en la víctima.
Malware utilizado
- Infostealers: Herramientas diseñadas para robar credenciales, datos bancarios y otra información sensible antes de ser detectados.
- Ransomware: Cifra archivos y sistemas críticos, exigiendo un pago en criptomonedas para recuperar el acceso.
¿Cómo funciona el ataque?
El proceso detrás de estos ataques es cuidadosamente orquestado y se desarrolla en varias etapas:
- Engaño inicial y phishing dirigido: Los atacantes se hacen pasar por el soporte de TI, alertando sobre un problema de seguridad en la cuenta del usuario. A través de SMS, llamadas de voz y correos electrónicos, dirigen a las víctimas a páginas de inicio de sesión falsas que imitan plataformas reales.
- Captura de credenciales y MFA: Al ingresar sus datos, las víctimas entregan sin saberlo sus credenciales y tokens de autenticación multifactor (MFA). Para no levantar sospechas, los atacantes las redirigen al sitio web legítimo después del robo de información.
- Infraestructura y dominios fraudulentos: EncryptHub ha registrado más de 70 dominios falsificados, como “linkwebcisco.com” y “weblinkteams.com”, para hacer más creíbles sus ataques.
- Acceso a la red y despliegue de malware: Con las credenciales robadas, los atacantes acceden a los sistemas corporativos y despliegan infostealers para robar datos y ransomware para cifrar archivos y exigir rescate.
Recomendaciones
- Refuerzo de autenticación: Implementar MFA avanzado y monitorear el uso de tokens ayuda a prevenir accesos no autorizados. Claves de seguridad físicas y autenticadores sin contraseña son opciones más seguras que los códigos SMS.
- Capacitación en phishing: Entrenar a los empleados para reconocer ataques de phishing por correo, SMS o llamadas es clave. Verificar enlaces antes de iniciar sesión y desconfiar de mensajes urgentes evita la entrega involuntaria de credenciales.
- Seguridad en red y acceso: Adoptar un enfoque Zero Trust limita el movimiento lateral dentro de la red. Soluciones de detección de amenazas permiten bloquear accesos sospechosos antes de que se comprometan sistemas críticos.
- Monitoreo y respuesta rápida: Configurar alertas de accesos inusuales y contar con un plan de respuesta a incidentes permite reaccionar a tiempo. Simulaciones de ataques ayudan a mejorar la preparación del equipo de seguridad.
- Bloqueo de dominios falsos: Monitorear y bloquear sitios de phishing que imitan plataformas legítimas reduce el riesgo de engaño. Reportar estos dominios y usar inteligencia de amenazas refuerza la protección corporativa.
