Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Firebrick Ostrich utiliza tácticas de código abierto para lanzar ciberataques
Obanla Opeyemi
17 de febrero de 2023 - Equipo de expertos TuxCare
Abnormal Security descubrió un nuevo actor de amenazas de ataques al correo electrónico empresarial conocido como "Firebrick Ostrich", que realiza ataques al correo electrónico empresarial (BEC) a escala casi industrial. También emplea una estrategia sigilosa para evitar las obviedades de los típicos ataques de ingeniería social.
Desde abril de 2021, Firebrick Ostrich ha lanzado más de 350 ataques BEC de este tipo, haciéndose pasar por al menos 151 organizaciones. El enfoque de ataque a gran escala del grupo permite este volumen de ataques. Cuando se trata de objetivos, Firebrick Ostrich no discrimina mucho, ni reúne una inteligencia excepcional para elaborar el cebo de phishing perfecto. Lanza dardos contra la pared porque, aparentemente, cuando se trata de BEC a escala, eso es todo lo que se necesita.
Todos los objetivos del actor de la amenaza tienen su sede en Estados Unidos, aunque los sectores atacados parecen ser oportunistas. En cada campaña, los atacantes se hacen pasar por varios empleados del proveedor, uno de los cuales suele ser el director financiero de la empresa.
Según Abnormal Security, no parece haber un patrón que sigan los actores de la amenaza, pero se sumerge en el comercio minorista y la educación, el transporte y la sanidad, y todo lo demás. El grupo también está especializado en la suplantación de identidades de terceros, lo que refleja un cambio en el BEC más general, y utiliza la investigación de código abierto, como el rastreo a través de sitios web gubernamentales para comprobar la información sobre contratos y proveedores existentes, y el número total de proveedores.
Una vez que el atacante dispone de esta información, utiliza Namecheap o Google para registrar un nombre de dominio muy similar al dominio legítimo del vendedor suplantado. Al carecer de información detallada sobre la relación vendedor-cliente, los correos electrónicos BEC suelen ser imprecisos, preguntando por un pago pendiente o solicitando una actualización de los datos de pago del vendedor.
"Desde sus inicios, BEC ha sido sinónimo de suplantación de la identidad del CEO", señala Crane Hassold, director de inteligencia de amenazas de Abnormal Security. Pero más recientemente, "los actores de amenazas han identificado a terceros como una especie de blanco fácil en la cadena de ataques B2C. Más de la mitad de los ataques B2C que vemos ahora suplantan la identidad de terceros en lugar de empleados internos."
Las fuentes de este artículo incluyen un artículo en Darkreading.
