¿Qué hacen los ciberdelincuentes para vulnerar tu correo corporativo?

El compromiso del correo corporativo es una de las puertas de acceso preferidas por los ciberdelincuentes para comprometer la seguridad de las empresas.

Tener el control de alguna de tus cuentas de email les puede dar acceso a información sensible, facilitar el fraude mediante la suplantación de la identidad de un empleado o directivo, distribuir malware a tu lista de correo, etc.

De este modo, blindar el email de tu empresa debería estar entre las prioridades de tu estrategia de ciberseguridad, como recogíamos en este artículo.

Así se hacen con tu correo corporativo

El equipo de investigación de Kaspersky lleva bastante tiempo tras la pista del grupo de hackers ToddyCat, uno de los más activos en este ámbito. Y la empresa de ciberseguridad ha detectado una evolución significativa en sus herramientas y estrategias.

Aunque en España todavía no se han registrado incidentes atribuidos a dicho grupo, países como Reino Unido sí que han sido sufrido sus ataques. Se enfoca esencialmente en organismos públicos, empresas tecnológicas, entidades diplomáticas y proveedores de servicios con infraestructuras críticas.

“ToddyCat ha afinado aún más sus métodos para infiltrarse en redes corporativas, robar información privada y evadir las herramientas de detección de las empresas”, advierte Kaspersky.

Una de sus tácticas destacadas es una nueva versión de ‘TomBerBil’. Esta herramienta recopila datos guardados en los navegadores de los empleados, como contraseñas, cookies o el historial de navegación.

“Aprovecha accesos compartidos dentro de la red de la empresa para obtener los datos. Además, es capaz de capturar las claves necesarias para descifrar esa información posteriormente, todo sin que el usuario lo perciba”, especifica la compañía.

Ni siquiera estamos a salvo si nuestro escudo para el ataque. “Cuando las herramientas de seguridad bloquean ese tipo de actividad, el grupo cambia de táctica. En este caso, ha utilizado una herramienta llamada ‘TCSectorCopy’, que permite copiar archivos del sistema, aunque estén en uso y, por tanto, normalmente bloqueados”, detalla.

“Con ella, ToddyCat accede a los archivos locales donde Outlook guarda los correos electrónicos, contactos y archivos adjuntos, incluso si el programa está abierto”, explica Kaspersky.

“Para leer toda esa información, utilizan un segundo programa llamado ‘XstReader’, que permite extraer y visualizar todo el contenido robado“, añade.

Acceso al correo en la nube

La compañía de ciberseguridad señala que ToddyCat no se limita a robar datos almacenados en los sistemas de las empresas.

“También han comenzado a acceder al correo en la nube de plataformas como Microsoft 365, sin necesidad de robar contraseñas”, señala

“En lugar de eso, buscan pequeños tokens, códigos digitales temporales que permiten a los usuarios seguir conectados a sus cuentas sin volver a introducir su contraseña, que se almacenan en la memoria del ordenador mientras se usan estas aplicaciones”, desgrana.

“Con herramientas como ‘SharpTokenFinder’ o ‘ProcDump’, consiguen copiar esa memoria y recuperar los tokens, lo que les permite entrar directamente en los buzones de correo desde fuera de la red corporativa, saltándose las medidas de seguridad tradicionales”, alerta Kaspersky.

¿Cómo protegernos?

Si piensas que tu empresa es muy pequeña y que los ciberdelincuentes no te van a atacar por ello, estás muy equivocado. En EMPRENDEDORES ya hemos contado que las pymes son su objetivo preferido: 7 de cada 10 ataques se dirigen a este tipo de empresas.

Kaspesky recomienda a las empresas reforzar su estrategia de protección del correo corporativo y de sus sistemas con soluciones de seguridad endpoint. Estas herramientas resguardan todos los dispositivos conectados a la red corporativa, ofreciendo protección en tiempo real en los equipos de trabajo

También aconseja contar con sistemas de detección avanzada de amenazas, capaces de identificar, investigar y responder a amenazas complejas, ataques dirigidos y malware desconocido.

Además, recomienda disponer de servicios de threat intelligence, soluciones de seguridad que recopilan, analizan y contextualizan datos sobre ciberamenazas actuales y potenciales. Esto nos permite mantenernos informados sobre las técnicas y herramientas que emplean los grupos más peligrosos.