Tres ramificaciones diferentes del notorio cártel de delitos cibernéticos Conti han recurrido a la técnica de phishing de devolución de llamada como un vector de acceso inicial para violar las redes objetivo.
«Desde entonces, tres grupos de amenazas autónomos han adoptado y desarrollado de forma independiente sus propias tácticas de phishing dirigidas derivadas de la metodología de phishing de devolución de llamada», firma de seguridad cibernética AdvIntel dijo en un informe del miércoles.
Estas campañas dirigidas «aumentaron sustancialmente» los ataques contra entidades en los sectores financiero, tecnológico, legal y de seguros, agregó la compañía.
Los actores en cuestión incluyen a Silent Ransom, Quantum y Roy/Zeon, todos los cuales se separaron de Conti después de que este último orquestó su cierre en mayo de 2022 luego de su apoyo público a Rusia en el conflicto ruso-ucraniano en curso.
La táctica de ingeniería social avanzada, también llamada BazaCall (también conocida como BazarCall), se convirtió en el centro de atención en 2020/2021 cuando los operadores del ransomware Ryuk la pusieron en uso, que luego cambió su nombre a Conti.
Se dice que recibió mejoras operativas sustanciales en mayo, casi al mismo tiempo que el equipo de Conti estaba ocupado coordinando una reestructuración de toda la organización mientras simulaba los movimientos de un grupo activo.
El ataque de phishing también es único en el sentido de que renuncia a enlaces o archivos adjuntos maliciosos en mensajes de correo electrónico a favor de números de teléfono a los que se engaña a los destinatarios para que llamen al alertarlos de un próximo cargo en su tarjeta de crédito por una suscripción premium.
Si un destinatario objetivo cae en la trampa y decide llamar al número de teléfono indicado en el correo electrónico, una persona real de un centro de llamadas fraudulento creado por los operadores de BazaCall intenta convencer a la víctima de que le otorgue a la persona de servicio al cliente control de escritorio remoto para ayudar a cancelar la supuesta suscripción.
Con acceso al escritorio, el actor de la amenaza toma medidas sigilosamente para infiltrarse en la red del usuario y establecer la persistencia para las actividades de seguimiento, como la exfiltración de datos.
«El phishing de devolución de llamada fue la táctica que permitió un cambio generalizado en el enfoque de la implementación de ransomware», dijo AdvIntel, y agregó que «el vector de ataque está intrínsecamente integrado en la tradición organizativa de Conti».
Silent Ransom, el primer subgrupo de Conti que se alejó de la banda de ciberdelincuencia en marzo de 2022, desde entonces se ha relacionado con ataques de extorsión de datos después de obtener acceso inicial a través de correos electrónicos de vencimiento de suscripción que afirman notificar a los usuarios sobre el pago pendiente de los servicios de Zoho Masterclass y Duolingo.
«Estos ataques se pueden categorizar como ataques de rescate de violación de datos, en los que el objetivo principal del grupo es obtener acceso a documentos e información confidenciales, y exigir el pago para retener la publicación de los datos robados», Sygnia señalado el mes pasado, describiendo el procedimiento de infección.
La compañía de ciberseguridad israelí está rastreando las actividades de Silent Ransom bajo el nombre de Luna Moth.
Quantum y Roy/Zeon son los otros dos spin-offs de Conti que seguirán el mismo enfoque a partir de junio de 2022. Si bien Quantum ha sido implicado en los devastadores ataques de ransomware a las redes del gobierno costarricense en mayo, Roy/Zeon está formado por miembros «responsables de la creación del mismo Ryuk».
«A medida que los actores de amenazas se han dado cuenta de las potencialidades de las tácticas de ingeniería social armadas, es probable que estas operaciones de phishing continúen volviéndose más elaboradas, detalladas y difíciles de analizar de las comunicaciones legítimas a medida que pasa el tiempo», dijeron los investigadores.
Los hallazgos llegan como empresa de ciberseguridad industrial Dragos revelado el número de ataques de ransomware en infraestructuras industriales disminuyó de 158 en el primer trimestre de 2022 a 125 en el segundo trimestre, una caída que atribuyó con poca confianza al cierre de Conti.
Eso no es todo. La firma de análisis de blockchain Elliptic reveló esta semana que el ahora desaparecido grupo Conti ha lavado más de USD 53 millones en criptoactivos a través de RenBridge, un puente entre cadenas que permite transferir fondos virtuales entre cadenas de bloques, entre abril de 2021 y julio de 2022.