Por Eduardo Tob\u00edas Travieso<\/p>\n
La Unidad de Delitos Digitales (DCU, por sus siglas en ingl\u00e9s) de Microsoft ha incautado 240 sitios web fraudulentos asociados con un facilitador de delitos cibern\u00e9ticos con sede en Egipto. Abanoub Nady (conocida en l\u00ednea como \u00abMRxC0DER\u00bb) desarroll\u00f3 y vendi\u00f3 kits de phishing \u00abh\u00e1galo usted mismo\u00bb y utiliz\u00f3 de manera fraudulenta la marca \u00abONNX\u00bb para vender estos servicios. Numerosos ciberdelincuentes y actores de amenazas en l\u00ednea compraron estos kits y los utilizaron en campa\u00f1as de phishing generalizadas para eludir medidas de seguridad adicionales e ingresar a las cuentas de los clientes de Microsoft. Si bien todos los sectores est\u00e1n en riesgo, la industria de servicios financieros ha sido atacada de manera importante debido a los datos y transacciones confidenciales que manejan. En estos casos, un phishing exitoso puede tener consecuencias devastadoras en el mundo real para las v\u00edctimas. Puede resultar en la p\u00e9rdida de cantidades significativas de dinero, incluidos los ahorros de toda la vida, que, una vez robados, pueden ser muy dif\u00edciles de recuperar.<\/p>\n
Los correos electr\u00f3nicos de phishing que se originan en estos kits de \u00abh\u00e1galo usted mismo\u00bb constituyen una parte significativa de las decenas a cientos de millones de mensajes de phishing observados por Microsoft cada mes. Las operaciones fraudulentas de ONNX forman parte de la industria m\u00e1s amplia de \u00abphishing como servicio<\/a>\u00bb (PhaaS) y, como se se\u00f1ala en el Informe de Defensa Digital de Microsoft de este a\u00f1o<\/a>, la operaci\u00f3n se encontraba entre los cinco principales proveedores de kits de phishing por volumen de correo electr\u00f3nico en la primera mitad de 2024. Al igual que las empresas de comercio electr\u00f3nico venden productos, Abanoub Nady y sus asociados comercializaban y vend\u00edan sus ofertas il\u00edcitas a trav\u00e9s de tiendas de marca, incluida la fraudulenta \u00abONNX Store\u00bb. Al dirigirse a este destacado servicio, DCU interrumpe la cadena de suministro il\u00edcita de los ciberdelincuentes, para proteger a los clientes de una variedad de amenazas posteriores, como el fraude financiero, el robo de datos y el ransomware.<\/p>\n Apuntar hacia las amenazas cibern\u00e9ticas emergentes para proteger a los usuarios en l\u00ednea<\/p>\n La operaci\u00f3n fraudulenta de ONNX ilustra el avance de la sofisticaci\u00f3n de las amenazas en l\u00ednea, incluidas las sofisticadas t\u00e9cnicas de phishing de \u00abadversario en el medio<\/a>\u00bb (AiTM, por sus siglas en ingl\u00e9s). A medida que las organizaciones fortalecen sus medidas de ciberseguridad, los ciberdelincuentes evolucionan sus t\u00e1cticas para evadirlas. Los ataques de phishing AiTM, en los que los atacantes se inyectan de manera secreta en las comunicaciones de la red para robar las credenciales y las cookies utilizadas para autenticar la identidad de los usuarios, se han convertido en el m\u00e9todo m\u00e1s favorecido, si no en el m\u00e9todo de referencia utilizado por los actores maliciosos para eludir las protecciones adicionales de las defensas de autenticaci\u00f3n multifactor (MFA, por sus siglas en ingl\u00e9s). Como se se\u00f1al\u00f3 en el Informe de Defensa Digital de Microsoft de este a\u00f1o, Microsoft ha observado un aumento del 146% solo en estos ataques AiTM.<\/p>\n Por Eduardo Tob\u00edas Travieso<\/p>\n FINRA, <\/a>la organizaci\u00f3n autorreguladora sin fines de lucro que supervisa a los corredores de bolsa de EE. UU., emiti\u00f3 de manera reciente una alerta cibern\u00e9tica p\u00fablica<\/a>, donde advierte sobre un aumento en los ataques de AiTM contra miembros impulsados por la operaci\u00f3n fraudulenta de ONNX. En esta advertencia, FINRA destac\u00f3 las nuevas t\u00e9cnicas empleadas por los ciberdelincuentes, incluido el phishing con c\u00f3digos QR (quishing) para eludir las protecciones de ciberseguridad. \u00abQuishing\u00bb utiliza c\u00f3digos QR incrustados que, si se escanean, dirigen a los usuarios en l\u00ednea a dominios de suplantaci\u00f3n de identidad maliciosos, por lo general una p\u00e1gina de inicio de sesi\u00f3n falsa donde se les pide a los usuarios que ingresen credenciales. A partir de septiembre de 2023, los analistas de Microsoft observaron<\/a> un aumento significativo de los intentos de phishing mediante c\u00f3digos QR (hasta casi una cuarta parte de todos los phishing de correo electr\u00f3nico). Estos ataques presentan un desaf\u00edo \u00fanico para los proveedores de ciberseguridad, ya que aparecen como una imagen ilegible.<\/p>\n Enviar un mensaje contundente a los ciberdelincuentes<\/p>\n Esta acci\u00f3n se basa en la estrategia de la DCU de interrumpir el ecosistema cibercriminal m\u00e1s amplio y dirigirse a las herramientas que utilizan los ciberdelincuentes para lanzar sus ataques. Nuestro objetivo en todos los casos es proteger a los clientes al aislar a los malos actores de la infraestructura necesaria para operar y disuadir el comportamiento futuro de los ciberdelincuentes al aumentar de manera significativa las barreras de entrada y el costo de hacer negocios.<\/p>\n En esto nos acompa\u00f1a el co-demandante LF (Linux Foundation) Projects, LLC, el propietario de la marca registrada del nombre y el logotipo registrados \u00abONNX\u00bb. \u00abONNX\u00bb u Open Neural Network Exchange<\/a> es un formato de est\u00e1ndar abierto y un tiempo de ejecuci\u00f3n de c\u00f3digo abierto para representar modelos de aprendizaje autom\u00e1tico, lo que permite la interoperabilidad entre diferentes hardware, marcos y herramientas para facilitar la implementaci\u00f3n y la escalabilidad.<\/p>\n Juntos, tomamos medidas afirmativas para proteger a los usuarios en l\u00ednea a nivel mundial en lugar de quedarnos de brazos cruzados mientras los actores maliciosos usan de manera ilegal nuestros nombres y logotipos para mejorar la legitimidad percibida de sus ataques. Adem\u00e1s, y como lo ha hecho DCU en acciones anteriores en las que identificamos de forma independiente a un actor, hemos optado por nombrar de manera p\u00fablica a un acusado, Abanoub Nady, quien dirigi\u00f3 la operaci\u00f3n fraudulenta ONNX, para que sirva como un elemento disuasorio adicional para los ciberdelincuentes y los actores maliciosos en l\u00ednea.<\/p>\n Por Eduardo Tob\u00edas Travieso<\/p>\n Sobre la operaci\u00f3n criminal fraudulenta de ONNX<\/p>\n Muchas empresas de ciberseguridad han investigado y publicado informes sobre la operaci\u00f3n fraudulenta de ONNX, incluida DarkAtlas, que identific\u00f3 de manera p\u00fablica a <\/a>\u00a0Abanoub Nady a principios de este a\u00f1o, y EclecticIQ, que public\u00f3 una nota de investigaci\u00f3n<\/a> que \u00a0detalla c\u00f3mo se utilizaban las operaciones fraudulentas de ONNX para atacar instituciones financieras. Microsoft ha rastreado la actividad vinculada a la operaci\u00f3n de Abanoub Nady desde 2017.\u00a0Nady us\u00f3 de manera fraudulenta la marca ONNX, pero tambi\u00e9n us\u00f3 otros nombres en su operaci\u00f3n, incluido \u00abCaffeine\u00bb y, de manera m\u00e1s reciente, DCU observ\u00f3 que Nady dirig\u00eda la operaci\u00f3n \u00abFUHRER\u00bb.\u00a0Los kits de phishing est\u00e1n dise\u00f1ados para enviar correos electr\u00f3nicos a gran escala, en espec\u00edfico para campa\u00f1as de phishing coordinadas. Por ejemplo, la operaci\u00f3n fraudulenta de ONNX ofrece un modelo de suscripci\u00f3n, que ofrece suscripciones Basic, Professional y Enterprise, cada una para diferentes niveles de acceso y soporte. Los usuarios empresariales tambi\u00e9n pueden comprar la funci\u00f3n adicional de \u00abSoporte VIP ilimitado\u00bb, que es en esencia soporte t\u00e9cnico continuo que proporciona instrucciones paso a paso sobre c\u00f3mo usar con \u00e9xito los kits de phishing para cometer delitos cibern\u00e9ticos.<\/p>\n Los kits de phishing se promocionan, venden y configuran casi en exclusiva a trav\u00e9s de Telegram, como se muestra en el siguiente ejemplo, que se combinan con videos de \u00abc\u00f3mo hacerlo\u00bb en plataformas de redes sociales que brindan orientaci\u00f3n sobre la compra e implementaci\u00f3n de estos kits de phishing.<\/p>\n Una vez que se compra un kit, los clientes ciberdelincuentes pueden realizar sus propios ataques de phishing por medio de las plantillas proporcionadas y la infraestructura t\u00e9cnica fraudulenta de ONNX. Pueden usar dominios que compran en otro lugar y conectarse a la infraestructura t\u00e9cnica fraudulenta de ONNX, lo que permite que sus operaciones de phishing crezcan y escalen.<\/p>\n A trav\u00e9s de una orden judicial civil revelada hoy en el Distrito Este de Virginia, esta acci\u00f3n redirige la infraestructura t\u00e9cnica maliciosa a Microsoft, para cortar el acceso de los actores de amenazas, incluida la operaci\u00f3n fraudulenta ONNX y sus clientes de delitos cibern\u00e9ticos, y detener de manera permanente el uso de estos dominios en ataques de phishing en el futuro.<\/p>\n Continuamos nuestra lucha contra las herramientas que utilizan los ciberdelincuentes en sus ataques<\/p>\n Por Eduardo Tob\u00edas Travieso<\/p>\n Como hemos dicho antes, ninguna interrupci\u00f3n est\u00e1 completa en una sola acci\u00f3n. La lucha eficaz contra la ciberdelincuencia requiere persistencia y vigilancia continua para interrumpir las nuevas infraestructuras maliciosas. Si bien la acci\u00f3n legal de hoy obstaculizar\u00e1 de manera sustancial las operaciones fraudulentas de ONNX, otros proveedores llenar\u00e1n el vac\u00edo, y esperamos que los actores de amenazas adapten sus t\u00e9cnicas en respuesta. Sin embargo, tomar medidas env\u00eda un mensaje contundente a aquellos que eligen replicar nuestros servicios para perjudicar a los usuarios en l\u00ednea: buscaremos soluciones proactivas para proteger nuestros servicios y a nuestros clientes, y mejoramos de manera continua nuestras estrategias t\u00e9cnicas y legales para tener un mayor impacto.<\/p>\n Adem\u00e1s, a medida que los ciberdelincuentes contin\u00faan con la evoluci\u00f3n de sus m\u00e9todos, es crucial que las organizaciones y las personas se mantengan informadas y vigilantes. Al comprender las t\u00e1cticas empleadas por los ciberdelincuentes e implementar medidas de seguridad s\u00f3lidas, podemos trabajar de manera colectiva hacia un entorno digital m\u00e1s seguro. La colaboraci\u00f3n continua, al igual que la asociaci\u00f3n con LF Projects, se mantiene como algo esencial si queremos hacer mella de manera significativa en el panorama de las amenazas cibern\u00e9ticas.<\/p>\n La DCU de Microsoft continuar\u00e1 con la b\u00fasqueda de formas creativas de proteger a las personas en l\u00ednea y trabajar\u00e1 con otros en los sectores p\u00fablico y privado a nivel mundial para interrumpir y disuadir de manera significativa el cibercrimen.<\/p>\n Por Eduardo Tob\u00edas Travieso<\/p>\n","protected":false},"excerpt":{"rendered":" Por Eduardo Tob\u00edas Travieso La Unidad de Delitos Digitales (DCU, por sus siglas en ingl\u00e9s) de Microsoft ha incautado 240 sitios web fraudulentos asociados con un facilitador de delitos cibern\u00e9ticos con sede en Egipto. Abanoub Nady (conocida en l\u00ednea como \u00abMRxC0DER\u00bb) desarroll\u00f3 y vendi\u00f3 kits de phishing \u00abh\u00e1galo usted mismo\u00bb y utiliz\u00f3 de manera fraudulenta […]<\/p>\n","protected":false},"author":2,"featured_media":23935,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,146,2],"tags":[10600,6613],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/23934"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=23934"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/23934\/revisions"}],"predecessor-version":[{"id":23936,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/23934\/revisions\/23936"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/23935"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=23934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=23934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=23934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}