A principios de esta semana, Cofense, una empresa miembro de la junta directiva de la National Cyber Security Alliance (NCSA), anunció que había publicado una base de datos de más de 200 millones de cuentas de correo electrónico comprometidas, objetivo de estafas de sextorsión.
Las estafas consisten en correos electrónicos enviados a través de una gran red de bots "de alquiler" que Cofense descubrió en junio. La empresa está compartiendo la base de datos para ayudar a las personas y a los empresarios a evitar convertirse en víctimas. Para saber más sobre la sextorsión y el descubrimiento de la red de bots, NCSA habló con Tonia Dudley, Directora, Asesora de Soluciones de Seguridad de Cofense y miembro de la junta directiva de NCSA.
¿Qué es la sextorsión y cómo funciona?
La sextorsión abarca una amplia gama de ciberdelitos que implican formas no físicas de coacción. Normalmente, la sextorsión consiste en amenazar con divulgar imágenes o información sexual para extorsionar con criptomonedas. Normalmente, una víctima recibe un correo electrónico de un ciberdelincuente que amenaza con enviar supuesta información comprometedora -como fotos o vídeos sexuales- a amigos y familiares a menos que la víctima acceda a pagar un rescate en bitcoins. Lo que hace que el correo electrónico sea especialmente creíble es que, para demostrar su legitimidad, los "sextorsionadores" empiezan por mostrarte una contraseña que utilizaste una vez o utilizas actualmente.
¿Qué es una botnet y cómo se distribuye la estafa?
El término "bot" es la abreviatura del término "robot", conectado a la "red" como en "network". Un botnet es una red de ordenadores infectados con software que espera instrucciones de quien lo controla. Esto permite a un atacante controlar un gran número de ordenadores.La buena noticia es que sabemos que esta botnet NO ESTÁ infectando ordenadores para adquirir nuevos conjuntos de datos. Sólo está reciclando direcciones de correo electrónico adquiridas por diversos medios a lo largo del tiempo.
¿Por qué era importante publicar la lista de cuentas comprometidas?
Queríamos ayudar a las víctimas a evitar la ansiedad de tratar de averiguar si debían pagar el rescate en bitcoins solicitado. Solo en la primera mitad de 2019, Cofense Labs, nuestra recién formalizada rama de I+D, analizó más de 7 millones de correos electrónicos relacionados con la sextorsión. Esa es una gran cantidad de personas potencialmente impactadas por la sextorsión.La botnet que hemos estado monitoreando es una botnet "de alquiler" utilizada expresamente para la sextorsión. Si la red de bots recibe nuevas direcciones de correo electrónico, podemos verlas y añadirlas a la base de datos. También vigilamos la actividad de la red de bots para ver qué malware utiliza. Diariamente examinamos los nuevos programas maliciosos que pueda estar utilizando.
¿Qué deben hacer los particulares y las empresas si sus cuentas de correo electrónico se encuentran entre los 200 millones comprometidos?
Como particular, si su dirección de correo electrónico aparece en la lista pero no ha recibido ningún mensaje de extorsión sexual, ¡esté alerta! Es muy posible que el extorsionador se ponga en contacto contigo. No se alarme por la amenaza del mensaje. La alarma y el pánico son precisamente la reacción que espera el agresor con amenazas de vergüenza pública si no respondes. Los correos electrónicos de sextorsión no suelen contener elementos comunes de phishing, como un enlace malicioso o un archivo adjunto. Sin embargo, si ves alguno de ellos, no hagas clic y borra el mensaje. En el caso de las empresas, te recomendamos que tomes ciertas medidas, tanto si tus dominios aparecen en la lista como si no. Siempre estamos añadiendo más direcciones de correo electrónico a medida que la amenaza evoluciona.
- Supervise sus dominios a través del sitio web cofense.com/sextortion/. Si la base de datos no muestra resultados en este momento, debe seguir consultándola periódicamente. Estos ataques son continuos y dinámicos, por lo que los resultados están sujetos a cambios.
- Cree filtros de puerta de enlace para bloquear los términos clave utilizados en los mensajes de extorsión sexual. Manténgase al día sobre los mensajes que se utilizan, ya que los atacantes implementarán regularmente nuevos mensajes. Es la típica persecución del gato y el ratón
- Escriba reglas YARA para escanear sus servidores de correo, buscando Indicadores de Compromiso (IOCs) relacionados con estas campañas
- Tenga en cuenta que muchos mensajes de extorsión sexual, al igual que las campañas de Business Email Compromise (BEC), no incluyen enlaces ni archivos adjuntos: sólo buscan una respuesta que puedan explotar.
¿Qué deben hacer los usuarios si reciben un correo electrónico de extorsión sexual?
Estés o no en la lista, siempre recomendamos las mismas acciones. Los actores de amenazas utilizarán los datos de que disponen para dirigirse a los usuarios con correos electrónicos de phishing para este tipo de campañas o para acceder a cuentas.
¿Cómo pueden los usuarios evitar exponerse a la sextorsión?
Por desgracia, no hay nada que los individuos puedan hacer para evitar que por lo que siempre recomendamos utilizar nombres de usuario y contraseñas únicos para cada uno de los sitios web o las aplicaciones que descargue en su dispositivo móvil. Este tipo de campañas aprovechan listas ya expuestas de anteriores filtraciones de datos. Cuando recibas un correo electrónico informándote de que tu cuenta ha sido incluida en una filtración, actúa de inmediato para cambiar tu contraseña e implanta la autenticación multifactor cuando esté disponible.
Biografía del autor
Tonia Dudley es Directora, Asesora de Soluciones de Seguridad en Cofense y miembro de la junta de NCSA. En este puesto, se centra en la defensa contra el phishing y en demostrar cómo las soluciones de Cofense ayudan a las organizaciones de todo el mundo a minimizar el impacto de los ataques y a reducir el coste de las operaciones.