Hacer frente a la cadena de suministro de la ciberdelincuencia

Por Eduardo Tobías Travieso

La Unidad de Delitos Digitales (DCU, por sus siglas en inglés) de Microsoft ha incautado 240 sitios web fraudulentos asociados con un facilitador de delitos cibernéticos con sede en Egipto. Abanoub Nady (conocida en línea como «MRxC0DER») desarrolló y vendió kits de phishing «hágalo usted mismo» y utilizó de manera fraudulenta la marca «ONNX» para vender estos servicios. Numerosos ciberdelincuentes y actores de amenazas en línea compraron estos kits y los utilizaron en campañas de phishing generalizadas para eludir medidas de seguridad adicionales e ingresar a las cuentas de los clientes de Microsoft. Si bien todos los sectores están en riesgo, la industria de servicios financieros ha sido atacada de manera importante debido a los datos y transacciones confidenciales que manejan. En estos casos, un phishing exitoso puede tener consecuencias devastadoras en el mundo real para las víctimas. Puede resultar en la pérdida de cantidades significativas de dinero, incluidos los ahorros de toda la vida, que, una vez robados, pueden ser muy difíciles de recuperar.

Los correos electrónicos de phishing que se originan en estos kits de «hágalo usted mismo» constituyen una parte significativa de las decenas a cientos de millones de mensajes de phishing observados por Microsoft cada mes. Las operaciones fraudulentas de ONNX forman parte de la industria más amplia de «phishing como servicio» (PhaaS) y, como se señala en el Informe de Defensa Digital de Microsoft de este año, la operación se encontraba entre los cinco principales proveedores de kits de phishing por volumen de correo electrónico en la primera mitad de 2024. Al igual que las empresas de comercio electrónico venden productos, Abanoub Nady y sus asociados comercializaban y vendían sus ofertas ilícitas a través de tiendas de marca, incluida la fraudulenta «ONNX Store». Al dirigirse a este destacado servicio, DCU interrumpe la cadena de suministro ilícita de los ciberdelincuentes, para proteger a los clientes de una variedad de amenazas posteriores, como el fraude financiero, el robo de datos y el ransomware.

Apuntar hacia las amenazas cibernéticas emergentes para proteger a los usuarios en línea

La operación fraudulenta de ONNX ilustra el avance de la sofisticación de las amenazas en línea, incluidas las sofisticadas técnicas de phishing de «adversario en el medio» (AiTM, por sus siglas en inglés). A medida que las organizaciones fortalecen sus medidas de ciberseguridad, los ciberdelincuentes evolucionan sus tácticas para evadirlas. Los ataques de phishing AiTM, en los que los atacantes se inyectan de manera secreta en las comunicaciones de la red para robar las credenciales y las cookies utilizadas para autenticar la identidad de los usuarios, se han convertido en el método más favorecido, si no en el método de referencia utilizado por los actores maliciosos para eludir las protecciones adicionales de las defensas de autenticación multifactor (MFA, por sus siglas en inglés). Como se señaló en el Informe de Defensa Digital de Microsoft de este año, Microsoft ha observado un aumento del 146% solo en estos ataques AiTM.

Por Eduardo Tobías Travieso

FINRA, la organización autorreguladora sin fines de lucro que supervisa los corredores de bolsa de EE. UU., emitió de manera reciente una alerta cibernética pública, donde advierte sobre un aumento en los ataques de AiTM contra miembros impulsados por la operación fraudulenta de ONNX. En esta advertencia, FINRA destacó las nuevas técnicas empleadas por los ciberdelincuentes, incluido el phishing con códigos QR (quishing) para eludir las protecciones de ciberseguridad. «Quishing» utiliza códigos QR incrustados que, si se escanean, dirigen a los usuarios en línea a dominios de suplantación de identidad maliciosos, por lo general una página de inicio de sesión falsa donde se les pide a los usuarios que ingresen credenciales. A partir de septiembre de 2023, los analistas de Microsoft observaron un aumento significativo de los intentos de phishing mediante códigos QR (hasta casi una cuarta parte de todos los phishing de correo electrónico). Estos ataques presentan un desafío único para los proveedores de ciberseguridad, ya que aparecen como una imagen ilegible.

Enviar un mensaje contundente a los ciberdelincuentes

Esta acción se basa en la estrategia de la DCU de interrumpir el ecosistema cibercriminal más amplio y dirigirse a las herramientas que utilizan los ciberdelincuentes para lanzar sus ataques. Nuestro objetivo en todos los casos es proteger a los clientes al aislar a los malos actores de la infraestructura necesaria para operar y disuadir el comportamiento futuro de los ciberdelincuentes al aumentar de manera significativa las barreras de entrada y el costo de hacer negocios.

En esto nos acompaña el co-demandante LF (Linux Foundation) Projects, LLC, el propietario de la marca registrada del nombre y el logotipo registrados «ONNX». «ONNX» u Open Neural Network Exchange es un formato de estándar abierto y un tiempo de ejecución de código abierto para representar modelos de aprendizaje automático, lo que permite la interoperabilidad entre diferentes hardware, marcos y herramientas para facilitar la implementación y la escalabilidad.

Juntos, tomamos medidas afirmativas para proteger a los usuarios en línea a nivel mundial en lugar de quedarnos de brazos cruzados mientras los actores maliciosos usan de manera ilegal nuestros nombres y logotipos para mejorar la legitimidad percibida de sus ataques. Además, y como lo ha hecho DCU en acciones anteriores en las que identificamos de forma independiente a un actor, hemos optado por nombrar de manera pública a un acusado, Abanoub Nady, quien dirigió la operación fraudulenta ONNX, para que sirva como un elemento disuasorio adicional para los ciberdelincuentes y los actores maliciosos en línea.

Por Eduardo Tobías Travieso

Sobre la operación criminal fraudulenta de ONNX

Muchas empresas de ciberseguridad han investigado y publicado informes sobre la operación fraudulenta de ONNX, incluida DarkAtlas, que identificó de manera pública  Abanoub Nady a principios de este año, y EclecticIQ, que publicó una nota de investigación que  detalla cómo se utilizaban las operaciones fraudulentas de ONNX para atacar instituciones financieras. Microsoft ha rastreado la actividad vinculada a la operación de Abanoub Nady desde 2017. Nady usó de manera fraudulenta la marca ONNX, pero también usó otros nombres en su operación, incluido «Caffeine» y, de manera más reciente, DCU observó que Nady dirigía la operación «FUHRER». Los kits de phishing están diseñados para enviar correos electrónicos a gran escala, en específico para campañas de phishing coordinadas. Por ejemplo, la operación fraudulenta de ONNX ofrece un modelo de suscripción, que ofrece suscripciones Basic, Professional y Enterprise, cada una para diferentes niveles de acceso y soporte. Los usuarios empresariales también pueden comprar la función adicional de «Soporte VIP ilimitado», que es en esencia soporte técnico continuo que proporciona instrucciones paso a paso sobre cómo usar con éxito los kits de phishing para cometer delitos cibernéticos.

Los kits de phishing se promocionan, venden y configuran casi en exclusiva a través de Telegram, como se muestra en el siguiente ejemplo, que se combinan con videos de «cómo hacerlo» en plataformas de redes sociales que brindan orientación sobre la compra e implementación de estos kits de phishing.

Una vez que se compra un kit, los clientes ciberdelincuentes pueden realizar sus propios ataques de phishing por medio de las plantillas proporcionadas y la infraestructura técnica fraudulenta de ONNX. Pueden usar dominios que compran en otro lugar y conectarse a la infraestructura técnica fraudulenta de ONNX, lo que permite que sus operaciones de phishing crezcan y escalen.

A través de una orden judicial civil revelada hoy en el Distrito Este de Virginia, esta acción redirige la infraestructura técnica maliciosa a Microsoft, para cortar el acceso de los actores de amenazas, incluida la operación fraudulenta ONNX y sus clientes de delitos cibernéticos, y detener de manera permanente el uso de estos dominios en ataques de phishing en el futuro.

Continuamos nuestra lucha contra las herramientas que utilizan los ciberdelincuentes en sus ataques

Por Eduardo Tobías Travieso

Como hemos dicho antes, ninguna interrupción está completa en una sola acción. La lucha eficaz contra la ciberdelincuencia requiere persistencia y vigilancia continua para interrumpir las nuevas infraestructuras maliciosas. Si bien la acción legal de hoy obstaculizará de manera sustancial las operaciones fraudulentas de ONNX, otros proveedores llenarán el vacío, y esperamos que los actores de amenazas adapten sus técnicas en respuesta. Sin embargo, tomar medidas envía un mensaje contundente a aquellos que eligen replicar nuestros servicios para perjudicar a los usuarios en línea: buscaremos soluciones proactivas para proteger nuestros servicios y a nuestros clientes, y mejoramos de manera continua nuestras estrategias técnicas y legales para tener un mayor impacto.

Además, a medida que los ciberdelincuentes continúan con la evolución de sus métodos, es crucial que las organizaciones y las personas se mantengan informadas y vigilantes. Al comprender las tácticas empleadas por los ciberdelincuentes e implementar medidas de seguridad sólidas, podemos trabajar de manera colectiva hacia un entorno digital más seguro. La colaboración continua, al igual que la asociación con LF Projects, se mantiene como algo esencial si queremos hacer mella de manera significativa en el panorama de las amenazas cibernéticas.

La DCU de Microsoft continuará con la búsqueda de formas creativas de proteger a las personas en línea y trabajará con otros en los sectores público y privado a nivel mundial para interrumpir y disuadir de manera significativa el cibercrimen.

Por Eduardo Tobías Travieso