Múltiples grupos de ransomware han adoptado la técnica de phishing de devolución de llamada BazarCall para obtener el acceso inicial a las redes de las víctimas, incluyendo actores de amenazas que han apuntado al sector de la salud.
BazarCall es un tipo de phishing de devolución de llamada, en el que se ataca a las organizaciones y se envían correos electrónicos de “phishing” que solicitan una llamada a un número de teléfono para resolver un problema importante. Al igual que en las campañas de phishing estándar, hay urgencia: si no se actúa, habrá malas consecuencias. El número de teléfono proporcionado es atendido por el actor de la amenaza, que conoce bien las técnicas de ingeniería social e intentará engañar a la persona que llama para que realice acciones que le den acceso a la red de las víctimas. Esa acción podría ser visitar un sitio web malicioso o descargar un archivo malicioso.
En la campaña de BazarCall, el individuo al que se dirige la llamada recibe un mensaje de correo electrónico en el que se le informa de que una suscripción o una prueba gratuita está a punto de finalizar y que se renovará automáticamente con un coste. Para cancelar la suscripción, el usuario debe llamar al número proporcionado. Si se realiza la llamada, el actor de la amenaza intentará que el usuario inicie una sesión de Control de Escritorio Remoto de Zoho, que se afirma es necesaria para cancelar la suscripción. Zoho es un software empresarial legítimo; sin embargo, en este caso, se utiliza con fines maliciosos. Mientras el usuario conversa con el actor de la amenaza que responde a la llamada, un segundo miembro del equipo utilizará la sesión de acceso remoto para armar silenciosamente herramientas legítimas que pueden ser utilizadas para un compromiso extenso de la red de la víctima.
BazarCall fue utilizado por primera vez por la operación de ransomware Ryuk en 2020/2021. Ryuk se disolvió y se reformó como Conti, y ambas eran prolíficas operaciones de ransomware como servicio. Las campañas fueron identificadas por los investigadores de seguridad de AdvIntel, que han vinculado las campañas a tres grupos de ciberdelincuentes que se separaron de la operación de ransomware Conti antes de su cierre.
Según AdvIntel, BazarCall comenzó a ser utilizado por la banda de ransomware Conti en marzo de 2022, y en abril, un nuevo grupo de ransomware -Silent Ransom- se separó de la operación Conti y adoptó la técnica de BazarCall para el acceso inicial. La técnica se perfeccionó y un segundo grupo de amenazas -Quantum- se separó de Conti y empezó a utilizar su propia versión de BazarCall. En junio, un tercer grupo, Roy/Zeon, se separó de Conti y empezó a utilizar su propia versión de BazarCall.
Cada grupo de amenazas suplanta a diferentes empresas en los correos electrónicos iniciales, como Duolingo, MasterClass, Oracle, HelloFresh, CrowdStrike, RemotePC, Standard Notes, y muchas más. Los señuelos utilizados varían, pero por lo general se refieren a un próximo pago debido a la finalización de un período de suscripción o de prueba, y las marcas suplantadas están relacionadas con la industria a la que se dirigen.
AdvIntel afirma que, si bien el grupo Silent Ransom fue el primer grupo de amenazas que resucitó la táctica de phishing BazarCall, al ver el éxito, la eficacia y la capacidad de segmentación de la táctica, otros grupos de amenazas han comenzado a utilizar la campaña de phishing invertida como base y a desarrollar el vector de ataque en el suyo propio. “Es probable que esta tendencia continúe: Como los actores de las amenazas se han dado cuenta de las potencialidades de las tácticas de ingeniería social convertidas en armas, es probable que estas operaciones de phishing sigan siendo más elaboradas, detalladas y difíciles de separar de las comunicaciones legítimas a medida que pase el tiempo”, advierten los investigadores.
Defenderse de los mensajes de phishing de devolución de llamada puede ser difícil debido a la falta de contenido malicioso en los mensajes de phishing iniciales, lo que significa que es poco probable que sean marcados como maliciosos por las soluciones de seguridad del correo electrónico. La mejor defensa para evitar los ataques es asegurarse de que el callback phishing se incluya en la formación sobre seguridad y que se incluyan ejemplos de callback phishing en los simulacros internos de phishing.
Con información de 20 Minutos.