¿Para qué roban los ciberdelincuentes proyectos de las empresas?

Un grupo de ciberdelincuentes que está detrás de las últimas oleadas de phishing y de interceptación de pagos a empresas industriales también está robando planes y proyectos operativos de las víctimas. Este comportamiento plantea a los expertos una serie de inquietantes preguntas sobre sus intenciones futuras, ya que la información sustraída no es necesaria para el esquema económico de los ciberatacantes, según un informe del Equipo de Respuesta a Ciberemergencias de Sistemas de Control Industrial de Kaspersky Lab.

Estos ataques pretenden secuestrar y controlar cuentas empresariales reales para a partir de ahí interceptar o redireccionar las transacciones financieras, en una tendencia que se comenzó a intensificar el pasado mes de octubre de 2016, cuando se contabilizaron más de 500 empresas atacadas en 50 países, principalmente empresas industriales y grandes corporaciones de transporte y logística.

Los expertos creen que hay un solo grupo de ciberdelincuencia detrás de todos los ataques, haciendo uso de diferentes programas maliciosos o de varios grupos que cooperan y comparten recursos. La mayoría de los dominios registrados procedían de residentes de Nigeria.

Este tipo de ataques comienzan con un correo electrónico de phishing cuidadosamente elaborado que parece provenir de proveedores, clientes, organizaciones comerciales y servicios de distribución, y que es sumamente sofisticado, hasta el punto de que, según explica esta empresa de antivirus en un comunicado, los ciberdelincuentes usan malware perteneciente a al menos ocho diferentes familias de espionaje y troyanos backdoor, todas disponibles a bajo precio en el mercado negro, y diseñadas principalmente para robar datos confidenciales e instalar herramientas de administración remota en sistemas infectados.

En los equipos infectados, los ciberatacantes toman capturas de pantalla de emails o redireccionan mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. Las transacciones se interceptan a través de un clásico ataque man-in-the-middle, reemplazando los detalles de la cuenta en la factura de un vendedor legítimo con los de los atacantes. Es difícil para las víctimas detectar la sustitución hasta que es demasiado tarde y el dinero ya ha desaparecido.

Entre la información robada con más frecuencia había capturas de pantalla de operaciones y proyectos, así como dibujos técnicos y diagramas de red. Además, estas imágenes no se habían conseguido de los equipos de los gerentes de proyectos o de los encargados de la adquisición, los objetivos habituales de los ciberatacantes, sino de equipos de operadores, ingenieros, diseñadores y arquitectos.

Maria Garnaeva, analista Senior de Seguridad, Análisis de Amenazas de Infraestructuras Críticas de Kaspersky Lab, admite que este tipo de comportamientos plantea una serie de dudas inquietantes. "No hay necesidad de que los ciberdelincuentes recojan este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información? ¿La recopilación de datos es accidental o intencional o quizás un encargo de un tercero? Hasta ahora, no hemos visto ninguna información robada por los ciberdelincuentes nigerianos en el mercado negro. Sin embargo, está claro que para las empresas atacadas además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves", afirma.