Anatomía de un ataque con arpón Phishing

¿Qué es el spear phishing?

El spear phishing es un tipo de ataquephishing muy selectivo y eficaz. A diferencia de las campañas de phishing genéricas enviadas a un gran número de personas, el spear phishing se dirige a personas u organizaciones concretas. Implica una investigación exhaustiva para elaborar mensajes de correo electrónico, llamadas telefónicas o mensajes en redes sociales altamente personalizados, que a menudo parecen proceder de una fuente de confianza, como un colega, un supervisor o un socio comercial conocido. El atacante investiga cuidadosamente a su objetivo para que el mensaje parezca legítimo e inste a la víctima a actuar. Incluso los empleados altamente cualificados caen en los correos electrónicos phishing selectivo, lo que convierte a estos ataques dirigidos en una prioridad máxima para los defensores.

Por qué los atacantes utilizan el spear phishing

El spear phishing es utilizado con frecuencia por grupos de ransomware y APT como Akira, Black Bastay APT29. Los atacantes lo utilizan para:

• Aumentar las probabilidades de éxito
• Obtener acceso al centro de datos
• Robar información sensible
• Infectar dispositivos con malware

El proceso de un ataque phishing spear phishing

Los ataques de spear phishing siguen un proceso muy estructurado:

• Investigación: Los spear phishers recopilan información detallada sobre el objetivo, a menudo a través de las redes sociales, bases de datos públicas o infracciones anteriores. 
• Creación del cebo: A continuación, el atacante elabora un mensaje convincente que parece proceder de una fuente de confianza, con información personal, acontecimientos recientes, conocidos comunes y otros detalles individualizados.
• Entrega: El mensaje se entrega junto con un enlace o archivo adjunto malicioso, como malware o un sitio web falso diseñado para robar credenciales de inicio de sesión. 
• Explotación: Una vez que el empleado muerde el anzuelo, el atacante obtiene acceso para moverse lateralmente dentro de la red de su organización y escalar el ataque.

Cómo contrarrestar los ataques de spear phishing

Las herramientas de prevención a menudo no consiguen detener este tipo de ataques, convirtiéndolos en una amenaza incluso con pasarelas web seguras, cortafuegos e IPS. Por esta razón, es fundamental contar con detecciones adecuadas para poder ver y responder a los ataques de inmediato. Vectra AI detecta las tácticas más comunes de spear phishing , incluyendo:

• Túnel TTPS oculto
• Enumeración de archivos compartidos
• Barrido de puertos sospechosos y salientes 
• Entra ID Anomalía en la operación de privilegios
• M365 Phishing Spear interno

Por ejemplo, en un ataque simulado que comenzó con un ataque dirigido a un empleado en LinkedIn, el atacante:

• WhatsApp cifrado para evitar la web
• Comprometer el portátil corporativo del empleado
• Trasladado al centro de datos mediante mando a distancia

En este caso, Vectra AI reveló rápidamente dónde se habían instalado túneles ocultos y qué identidades se habían visto afectadas, lo que permitió a los defensores responder al instante.

Descubra cómo Vectra AI desenmascaró un ataque activo phishing selectivo.

Simulamos un ataque del Grupo Lazarus para averiguar qué ocurre exactamente cuando un grupo de ciberdelincuentes patrocinado por un Estado ataca a un empleado en LinkedIn, pasa por encima del acceso a la red de zero trust (ZTNA) y roba las credenciales de administrador. V cómo evitar que el ataque progrese.