Cofense, una empresa miembro del consejo de la National Cybersecurity Alliance (NCSA), anunció que había publicado una base de datos de más de 200 millones de cuentas de correo electrónico comprometidas, dirigidas por estafas de sextorsión.

Las estafas involucran correos electrónicos enviados a través de una gran botnet “en alquiler” que Cofense descubrió en junio. La empresa está compartiendo la base de datos para ayudar a las personas y empleadores a evitar ser víctimas. Para saber más sobre la sextorsión y el descubrimiento de la botnet, NCSA habló con Tonia Dudley, Directora, Asesora de Soluciones de Seguridad en Cofense y miembro del consejo de NCSA.

¿Qué es la sextorsión y cómo funciona?

La sextorsión abarca una amplia gama de delitos cibernéticos que involucran formas de coerción no físicas. Típicamente, sextorsión significa la amenaza de divulgar imágenes o información sexual para extorsionar criptomonedas. Usualmente, una víctima recibe un correo electrónico de un cibercriminal que amenaza con enviar supuesta información comprometedora, como fotos o videos sexuales, a amigos y familiares a menos que la víctima acepte pagar un rescate en bitcoins. Lo que hace que el correo electrónico sea especialmente creíble es que para probar su legitimidad, los “sextorsionistas” comienzan mostrando una contraseña que alguna vez usaste o que actualmente usas.

¿Qué es una botnet y cómo se distribuye la estafa?

El término “bot” es una abreviatura de la palabra “robot”, conectado a la “red” como en “red de computadoras”. Una botnet es una red de computadoras infectadas con software que espera instrucciones de quien la controla. Esto permite a un atacante controlar un gran número de computadoras. La buena noticia es que sabemos que esta botnet NO está infectando computadoras para adquirir nuevos conjuntos de datos. Solo está reciclando direcciones de correo electrónico adquiridas por varios medios a lo largo del tiempo.

¿Por qué fue importante publicar la lista de cuentas comprometidas?

Queríamos ayudar a las víctimas a evitar la ansiedad de intentar averiguar si deben pagar el rescate de bitcoin solicitado. Solo en la primera mitad de 2019, Cofense Labs, nuestro recién formalizado brazo de I+D, analizó más de 7 millones de correos electrónicos relacionados con la sextorsión. Eso es mucha gente potencialmente impactada por sextorsión. La botnet que hemos estado monitoreando es una botnet “en alquiler” usada expresamente para sextorsión. Si la botnet incorpora nuevas direcciones de correo electrónico, podemos verlas y agregar a la base de datos. También estamos monitoreando la actividad de la botnet para ver qué malware está utilizando. Estamos observando si hay nuevas piezas de malware que podría estar utilizando diariamente.

¿Qué deben hacer individuos y empresas si sus cuentas de correo electrónico están entre las 200 millones que están comprometidas?

Como individuo, si tu dirección de correo electrónico aparece en la lista pero no has recibido un correo electrónico de sextorsión, ¡estate atento! El sextorsionista podría contactarte. No te alarmes por la amenaza en el correo electrónico. La alarma y el pánico son precisamente la reacción que el atacante espera con amenazas de vergüenza pública si no respondes. Los correos electrónicos de sextorsión normalmente no tienen elementos comunes de phishing como un enlace malicioso o un archivo adjunto. Sin embargo, si ves alguno, no hagas clic. Solo borra el mensaje. Para las empresas, recomendamos que tomen ciertas acciones, ya sea que sus dominios estén o no listados. Siempre estamos añadiendo más direcciones de correo electrónico a medida que la amenaza evoluciona.

• Monitorea tus dominios a través del sitio web cofense.com/sextortion/. Si la base de datos actualmente no muestra resultados, deberías seguir revisando periódicamente. Estos ataques están en curso y son dinámicos, por lo que los resultados están sujetos a cambios.

• Crea filtros de puerta de enlace para bloquear términos clave utilizados en correos electrónicos de sextorsión. Mantente actualizado sobre los mensajes que se utilizan ya que los atacantes implementarán regularmente nuevos mensajes. Es la típica persecución del gato y el ratón.

• Escribe reglas YARA para escanear tus servidores de correo, buscando Indicadores de Compromiso (IOCs) relacionados con estas campañas.

• Ten en cuenta que muchos correos electrónicos de sextorsión, como las campañas de Compromiso de Correo Electrónico Empresarial (BEC), no incluyen un enlace o archivo adjunto – solo buscan una respuesta que puedan explotar.

¿Qué deben hacer los usuarios si reciben un correo electrónico de sextorsión?

Estés o no en la lista, siempre recomendamos las mismas acciones. Los actores de amenazas usarán los datos disponibles para ellos para atacar a los usuarios con correos electrónicos de phishing para este tipo de campaña o para acceder a las cuentas.

¿Cómo pueden los usuarios evitar ser expuestos a la sextorsión?

Desafortunadamente, no hay nada que los individuos puedan hacer para prevenir ser expuestos, por lo que siempre recomendamos usar nombres de usuario y contraseñas únicas para cada uno de sus sitios web o las aplicaciones que descargan en su dispositivo móvil. Estos tipos de campañas están aprovechando listas ya expuestas de violaciones de datos anteriores. Cuando recibas un correo electrónico que tu cuenta fue incluida en una violación, toma acción de inmediato para cambiar tu contraseña e implementar autenticación multifactorial cuando está disponible.

Biografía del Autor

Tonia Dudley es Directora, Asesora de Soluciones de Seguridad en Cofense y miembro del consejo de NCSA. En este papel, se enfoca en la defensa contra phishing mientras demuestra cómo las soluciones de Cofense ayudan a las organizaciones de todo el mundo a minimizar el impacto de los ataques mientras reducen los costos de operaciones.