La operación es parte de un modelo de negocio rentable dirigido por ciberdelincuentes que han generado cientos de miles de dólares en ataques en más de 60 países
Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd., descubrió una operación de fraude cibernético en curso dirigida por piratas informáticos en Gaza. Cisjordania y Egipto con más de 10.000 ataques documentados desde principios de 2020. Los piratas informáticos utilizan grupos privados de Facebook para anunciar sus servicios y compartir tutoriales de exploración paso a paso, lo que ha llevado a comprometer los servidores de voz sobre IP (VoIP) de más de 1.200 organizaciones en más de 60 países en los últimos 12 meses. Una vez insertados en los servidores, estos piratas informáticos monetizan ese acceso vendiendo las llamadas generadas automáticamente y / o forzando a los sistemas a llamar a números premium para cobrar tarifas.
Las pérdidas globales por fraude de telecomunicaciones superan los $ 28 mil millones, según la CFCA (Communications Fraud Control Association), siendo la invasión de VoIP PBX uno de los cinco principales métodos de fraude utilizados, a través del cual se generaron cientos de miles. dólares a los ciberdelincuentes.
Colombia es uno de los países más atacados
Los cinco países principales con las organizaciones más atacadas, en orden de mayor volumen de ataques, son el Reino Unido (631 organizaciones), los Países Bajos (255), Bélgica (171), los Estados Unidos (93) y Colombia (57). Los ataques a 57 empresas en Colombia de industrias como educación / investigación / gobierno / militar / finanzas. Los sectores más atacados en general en el mundo fueron el gobierno, militares, seguros, finanzas, manufactura, entre otros. Los otros países con organizaciones afectadas fueron Alemania, Francia, India, Italia, Brasil, Canadá, Turquía, Australia, Rusia, Suiza, República Checa, Portugal, Dinamarca, Suecia y México (09 empresas atacadas).
Organizaciones atacadas por país
Reino Unido (52%); Países Bajos (21%); Bélgica (15%); Estados Unidos (7%) y Colombia (5%)
Método de ataque
VoIP es una tecnología que permite a una persona realizar llamadas de voz utilizando una conexión a Internet de banda ancha en lugar de una línea telefónica normal. Por ejemplo, las llamadas realizadas por WhatsApp utilizan tecnología VoIP En esta investigación se observó que los piratas informáticos se conectan (“dial-up”) para lucrar al acceder al servidor VoIP de una organización objetivo. El investigador de Check Point, Adi Ikan, resumió el método de ataque en tres pasos:
1. Los piratas informáticos buscan sistemáticamente sistemas VoIP que puedan ser vulnerables.
2. Los piratas informáticos atacan sistemas VoIP seleccionados, explotando varias vulnerabilidades.
3. Los piratas informáticos monetizan su acceso a sistemas comprometidos con la venta de llamadas, que se pueden generar automáticamente para recibir su acceso, o obligar al sistema a llamar a números premium que cobran tarifas.
Además, los piratas informáticos venden números de teléfono, planes de llamadas y acceso en vivo a servicios de VoIP comprometidos de las organizaciones objetivo al mejor postor, que luego puede explotar estos servicios para sus propios fines. En algunos casos, los piratas informáticos han espiado al escuchar llamadas de organizaciones objetivo.
Tutoriales de exploración en Facebook
Estos ciberdelincuentes utilizan las redes sociales para publicitar sus hazañas, compartir recursos de piratería y «educar» a otros. En Facebook, crearon varios grupos privados, en los que comparten información técnica sobre cómo realizar ataques específicos, incluidas guías y tutoriales paso a paso.
Cómo los investigadores hicieron el descubrimiento
Los investigadores de Check Point comenzaron a notar actividad sospechosa relacionada con vulnerabilidades de VoIP a través de sensores en Check Point ThreatCloud, la red colaborativa más grande que proporciona datos de tendencias de amenazas y ataques de una red global de sensores de amenazas. Una investigación más detallada los llevó a descubrir una nueva campaña, que los investigadores llamaron la operación INJ3CTOR3, dirigida a Sangoma PBX, una interfaz web de código abierto que administra Asterisk, el sistema telefónico VoIP corporativo más popular del mundo, utilizado por muchas compañías Fortune 500 por sus telecomunicaciones nacionales e internacionales.
El ataque explota CVE-2019-19006, una vulnerabilidad crítica en el PBX Sangoma, que le da al atacante acceso de administrador al sistema, dándole control sobre sus funciones. Los investigadores de Check Point documentaron numerosos intentos de ataques en todo el mundo en la primera mitad de 2020 relacionados con esta percepción inicial. Posteriormente, los investigadores pudieron exponer todo el flujo de ataque del grupo, desde la explotación inicial de la falla CVE-2019-19006, que otorga derechos de administrador al sistema telefónico VoIP de Sangoma, hasta cargas encriptadas de archivos PHP que aprovechan el sistema comprometido.
Cómo las organizaciones pueden mantenerse protegidas
• Revise la factura de las llamadas con regularidad. Tenga en cuenta los destinos de las llamadas, los volúmenes de tráfico y los patrones de llamadas sospechosos, especialmente para los números de tarifa premium.
• Analizar los estándares de llamadas internacionales y asegurarse de que se reconozcan los destinos.
• Mantenga la política de contraseñas y cambie todas las contraseñas predeterminadas.
• Busque el tráfico de llamadas realizadas fuera del horario comercial normal.
• Cancele los mensajes de voz innecesarios / no utilizados.
• Aplicar parches para cerrar la vulnerabilidad CVE-2019-19006 que explotan los ciberdelincuentes.
• Implemente un sistema de prevención de intrusiones que pueda detectar o prevenir intentos de aprovechar las debilidades en sistemas o aplicaciones vulnerables.
“Nuestra investigación reveló cómo los piratas informáticos de Gaza y Cisjordania están ganando dinero. Su operación de fraude cibernético es una forma rápida de ganar grandes cantidades y rápidamente. En términos más generales, este año estamos viendo un fenómeno generalizado de piratas informáticos que utilizan las redes sociales para aumentar la invasión y monetización de los sistemas VoIP”, dice Adi Ikan, jefe de investigación de seguridad cibernética de redes en Check Point Research (CPR).
“Los ciberdelincuentes están creando grupos de redes sociales dedicados para compartir ideas, conocimientos técnicos y anunciar sus logros. Así es como estos piratas informáticos de Gaza, Cisjordania y Egipto lograron organizarse para escalar una operación de fraude cibernético global. Aprecio que este fenómeno continúe en el cambio de año. En el futuro, nuestra recomendación es que las organizaciones de todo el mundo que utilizan sistemas VoIP se aseguren de haber implementado los últimos parches para evitar algunos pagos muy costosos”, dice Ikan.