¿Advertencia del DHS sobre piratas informáticos en su red? ¡Sin pánico! – Pura seguridad

La reconocida organización de seguimiento de correo electrónico Spamhaus, que mantiene listas de remitentes conocidos de spam y estafas, advierte una advertencia fraudulenta de «FBI / Seguridad Nacional» aparentemente distribuida a administradores de red y otro personal de TI en Norteamérica.

De hecho, algunos de nuestros propios colegas han informado recibir mensajes como este:

Urgent: Threat actor in systems Our intelligence monitoring indicates exfiltration of several of your virtualized clusters in a sophisticated chain attack. We tried to blackhole the transit nodes used by this advanced persistent threat actor, however there is a huge chance he will modify his attack with fastflux technologies, which he proxies trough multiple global accelerators. We identified the threat actor to be [REDACTED], whom is believed to be affiliated with the extortion gang TheDarkOverlord, We highly recommend you to check your systems and IDS monitoring. Beware this threat actor is currently working under inspection of the NCCIC, as we are dependent on some of his intelligence research we can not interfere physically within 4 hours, which could be enough time to cause severe damage to your infrastructure.

Spamhaus advierte que al menos algunas de las direcciones de correo electrónico de los destinatarios provienen de fuentes ya públicas, como bases de datos ARIN, [North] Registro americano de números de Internet.

Tenga en cuenta que esto no significa que ARIN haya sufrido algún tipo de lesión.

Es solo una prueba de que los delincuentes detrás de esta campaña de desinformación se centraron principalmente en las direcciones de correo electrónico que parecen estar asociadas con la administración de la red, así como las direcciones de correo electrónico de contacto que se tomaron intencionalmente de los feeds de podcast seleccionados probablemente irían a las personas que graban o producen podcasts.

Llamar a la distracción

Curiosamente, los mensajes falsos no contienen archivos adjuntos, números de teléfono o enlaces web, lo que hace que sea poco probable que su filtro de correo electrónico no los reconozca debido a los llamados Llamadas a la acción Incluyen.

Pero el texto del correo electrónico está compuesto por un montón de tecno-charlatanería que parece aterrador al principio, incluidas frases como esta:

Como puede ver en la captura de pantalla anterior, el correo electrónico también sugiere plausiblemente que los servicios policiales y de seguridad de EE. UU. Actualmente no pueden bloquear o apagar los servidores utilizados por los «atacantes» durante al menos cuatro horas porque tienen que mantener los servidores. en línea como parte de una operación de recopilación de inteligencia.

En otras palabras, ha sido advertido, pero está solo, así que haga una cosa a la vez.

Los mensajes fraudulentos editados anteriormente también nombran explícitamente a un perpetrador y afirman que pertenece al clan del ciberdelito conocido como. es conocida Señor supremo oscuro.

Como probablemente sepa, es muy poco probable, tanto por razones operativas como legales, que las autoridades estadounidenses denuncien y avergüencen a un presunto perpetrador de antemano mientras todavía hay vigilancia activa en curso y no se ha abierto ninguna acusación presentada o archivada.

Por cierto, la persona nombrada es un investigador de ciberseguridad que ha escrito un libro llamado. publicado Caza a los ciberdelincuentes, incluido Dark Overlord.

¿Qué tengo que hacer?

• Sin pánico. Independientemente de las técnicas que utilice para detectar y responder a las amenazas, siga utilizándolas. A menos que haya una nueva amenaza clara, presente, generalizada y debidamente documentada para la que no esté realmente preparado, evite distraer sus recursos habituales de lo que deberían estar haciendo de todos modos. A los ciberdelincuentes les encanta crear distracciones. Hacer que busque un ataque ilusorio que nunca encontrará es una excelente manera de engañarlo para que no controle otras partes de su infraestructura y, por lo tanto, se exponga a un mayor riesgo de compromiso.
• Evite contactar al FBI para obtener más detalles. Si esto fuera una advertencia real, es casi seguro que sería fácil encontrar más detalles, incluidos los Indicadores de Compromiso (IoC), sin llamar al FBI u otra línea directa de agencias de EE. UU. O los portales de información de ciberseguridad bien conocidos del gobierno o los sitios web de la comunidad de ciberseguridad (incluido este) ya tienen más información. Mantenga estas líneas directas de ciberseguridad del gobierno abiertas a las personas que realmente las necesiten.
• Ignore las acusaciones en el correo electrónico. Si la persona nombrada como el perpetrador fue realmente un objetivo del Departamento de Justicia (DOJ) y el DOJ estuviera legalmente autorizado a revelar su nombre como sospechoso o «persona de interés», es casi seguro que podría leer sobre el asunto en su propio DOJ. sitio web. Causar «devastación por venganza» sobre personas inocentes se conoce como Joe trabajando, luego de una campaña de spam temprana que hizo acusaciones falsas destinadas a provocar una reacción enojada en línea hacia Joe Doll, el operador de un lugar de reunión en línea de la década de 1990 llamado Joes ‘Cyberpost.

Ocasionalmente, por ejemplo, cuando nota un inminente ataque de ransomware en su propia red, o cuando ocurre un problema repentino de ciberseguridad global como el error Heartbleed, es posible que deba redirigir a sus expertos en ciberseguridad para que se ocupen de la emergencia.

Pero no se distraiga con los mensajes de Joe Job como este: las «noticias falsas» como esta no solo son injustas para el acusado, sino que pueden perturbar su propia protección de ciberseguridad.

¿No hay suficiente tiempo o personal? Obtenga más información sobre Sophos Managed Threat Response:
Sophos MTR: respuesta guiada por expertos ▶
Detección, detección y respuesta de amenazas 24 horas al día, 7 días a la semana ▶