La agencia de seguridad cibernética del gobierno de EE. UU. ha advertido que los piratas informáticos criminales motivados financieramente pusieron en peligro a las agencias federales mediante el uso de software de escritorio remoto legítimo.
CISA dijo en un aviso conjunto con la Agencia de Seguridad Nacional el miércoles que había identificado una «campaña cibernética generalizada que involucraba el uso malicioso de software legítimo de monitoreo y administración remotos (RMM)» que se había dirigido a múltiples agencias del poder ejecutivo civil federal, conocidas como FCEB. — una lista que incluye Seguridad Nacional, el Tesoro y el Departamento de Justicia.
CISA dijo que primero identificó actividad maliciosa sospechosa en dos sistemas FCEB en octubre mientras realizaba un análisis retrospectivo utilizando Einstein, un sistema de detección de intrusos operado por el gobierno que se utiliza para proteger las redes de agencias civiles federales. Un análisis posterior llevó a la conclusión de que muchas otras redes gubernamentales también se vieron afectadas.
CISA vinculó esta actividad con una campaña de phishing con fines financieros descubierta por primera vez por la firma de inteligencia de amenazas Silent Push. Pero CISA no nombró a las agencias FCEB afectadas y no respondió a las preguntas de TechCrunch.
Los atacantes anónimos detrás de esta campaña comenzaron a enviar correos electrónicos de phishing con el tema de la mesa de ayuda a las direcciones de correo electrónico personales y gubernamentales de los empleados federales a mediados de junio de 2022, según CISA. Estos correos electrónicos contenían un enlace a un sitio malicioso de «primera etapa» que se hacía pasar por empresas de alto perfil, incluidas Microsoft y Amazon, o incitaban a la víctima a llamar a los piratas informáticos, quienes luego intentaban engañar a los empleados para que visitaran el dominio malicioso.
Estos correos electrónicos de phishing condujeron a la descarga de software de acceso remoto legítimo, ScreenConnect (ahora ConnectWise Control) y AnyDesk, que los piratas informáticos anónimos utilizaron como parte de una estafa de reembolso para robar dinero de las cuentas bancarias de las víctimas. Estas herramientas de acceso remoto autohospedadas pueden permitir a los administradores de TI un acceso casi instantáneo a la computadora de un empleado con una interacción mínima por parte del usuario, pero los ciberdelincuentes han abusado de ellas para lanzar estafas de apariencia convincente.
En este caso, y según CISA, los ciberdelincuentes utilizaron el software de acceso remoto para engañar al empleado para que accediera a su cuenta bancaria. Los piratas informáticos utilizaron su acceso remoto para modificar el resumen de la cuenta bancaria del destinatario. “Los atacantes usaron el software de acceso remoto para cambiar la información del resumen de la cuenta bancaria de la víctima para mostrar que habían reembolsado por error una cantidad de dinero en exceso y luego le indicaron a la víctima que ‘reembolse’ esta cantidad en exceso”, dijo CISA.
CISA advierte que los atacantes también podrían usar software legítimo de acceso remoto como puerta trasera para mantener un acceso persistente a las redes gubernamentales. “Aunque esta actividad específica parece tener una motivación financiera y está dirigida a individuos, el acceso podría conducir a una actividad maliciosa adicional contra la organización del destinatario, tanto de otros ciberdelincuentes como de actores APT”, dijo el aviso.