Los atacantes usan cuentas legítimas para engañar a los usuarios.

En lo que va del 2023, credenciales que permiten acceso a la plataforma de correo de Office 365 de Microsoft usadas por organizaciones como la Fiscalía General de la Nación y el Ministerio de Comercio, Industria y Turismo, han sido comprometidas por cibercriminales.

Esto lo pudo confirmar Forbes con el equipo de inteligencia de la firma Lumu Technologies, que detectó que 27 organizaciones han sido víctimas de credenciales comprometidas, de las cuales 17 pertenecen al sector gobierno e instituciones de educación.

La Fiscalía y el Ministerio de Comercio, Industria y Turismo no respondieron a una solicitud de comentarios hecha por Forbes.

El Instituto Pedagógico Nacional, el Colegio Alemán de Barranquilla, el Instituto Superior de Educacion Rural, la Universidad de Pamplona, el Colegio Bilingüe San Juan de Dios de Bogotá, Universidad Nacional Abierta y a Distancia, la Universidad de Pamplona, la Universidad Católica de Oriente, Institución Universitaria Escolme, la Universidad Autónoma del Caribe, la Universidad de Nariño, el Colegio Marymount de Barranquilla y la Fundación Universitaria Los Libertadores también aparecen entre las organizaciones afectadas.

Así mismo, han quedado comprometidos correos de entidades públicas como la Unidad Administrativa Especial de Servicios Públicos, la Personería de Bogotá y la Alcaldía de Lebrija (Santander), además de la Fiscalía y el Ministerio de Comercio, Industria y Turismo.

Entre tanto, en el reporte Lumu Advisory, quedaron registrados ataques a 25 dominios de internet que han sido comprometidos por cibercriminales y cuyas credenciales de administración están siendo comercializadas.

“Dentro de los factores comunes a estos dominios, se destaca que todos son administrados a través de la reconocida plataforma cPanel”, dice el documento obtenido por Forbes. “La criticidad de esta situación radica en que los atacantes podrían aprovecharse de estos dominios legítimos para crear subdominios, carpetas, y servidores de correo, que les permita generar nuevos ataques de phishing con mayor alcance y efectividad. Adicionalmente, mediante esta técnica, los ciberdelincuentes suelen hospedar enlaces maliciosos que llevan a la descarga de malware precursor que abre el camino a posteriores ataques de ransomware o brechas de seguridad”.

Entre los dominios comprometidos aparecen los de la Clinica Oftalmológica de Cartagena, FTS Tecnología y Savanna Flowers.

El reporte de Lumu Technologies alerta que la gravedad de esta situación radica en que cada vez que los atacantes toman control de una cuenta de correo electrónico, esta se convierte en un vector de distribución de phishing para instalar software malicioso precursor en los sistemas de otras organizaciones.

“La efectividad de estos ataques está determinada por la capacidad de usar una cuenta legítima con la que pueden engañar a más usuarios. Un ejemplo de ello son los correos que advierten de una multa de tránsito, o un proceso judicial en curso e inducen al usuario a descargar el archivo del comparendo, una vez efectuada la descarga y se instala el malware precursor, se abre la puerta a un ataque de ransomware o filtración de información confidencial”, señala la firma tecnológica.

La compañía anotó que observa un incremento del 1200% en la comercialización de credenciales de acceso a cuentas de correo electrónico comparado con el mismo periodo del año anterior.

Siga la información de tecnología en nuestra sección especializada