Mientras los principales productores de petróleo del mundo se preparaban para una reunión de una semana a principios de este mes para planificar una respuesta a la caída de los precios del crudo, los piratas informáticos de espionaje comenzaron una sofisticada campaña de phishing dirigido que se concentró en las empresas de energía con sede en EE. UU. El objetivo: instalar un notorio troyano que desviaba sus comunicaciones y datos más confidenciales.
Como diferenciación de la campaña, los correos electrónicos estaban en su mayoría libres de errores tipográficos, errores gramaticales y otros descuidos que son típicos de los phishes. Los correos electrónicos también reflejaban un remitente que estaba bien familiarizado con el negocio de la producción de energía. Un aluvión de correos electrónicos que comenzó el 31 de marzo, por ejemplo, pretendía provenir de Engineering for Petroleum and Process Industries, una verdadera compañía petrolera estatal egipcia.
No es el spear-phishing de tu padre
El remitente invitó al destinatario a presentar una oferta por equipos y materiales como parte de un proyecto real en curso, conocido como el Proyecto de Instalaciones Compartidas de Rosetta, en nombre de Burullus, una empresa conjunta de gas que es propiedad en parte de otra compañía petrolera estatal egipcia. El correo electrónico, que se envió a unas 150 empresas de petróleo y gas durante una semana a partir del 31 de marzo, adjuntaba dos archivos que se hacían pasar por condiciones de licitación, formularios y una solicitud de propuesta. La cantidad relativamente pequeña de correos electrónicos demuestra una orientación limitada de la campaña cuidadosamente diseñada. Por el contrario, muchas campañas de phishing envían de forma no discriminatoria decenas de miles de correos electrónicos.
Bitdefender
“Para alguien en la industria del petróleo y el gas, que tenga conocimiento sobre estos proyectos, el correo electrónico y la información que contiene pueden parecer lo suficientemente convincentes como para abrir los archivos adjuntos”, escribieron los investigadores de la firma de seguridad Bitdefender en una publicación publicada el martes.
Las empresas más atacadas estaban ubicadas en Malasia, Estados Unidos, Irán, Sudáfrica y Omán.
Bitdefender
Una segunda campaña comenzó el 12 de abril. Envió un correo electrónico pidiendo a los destinatarios que completaran un documento conocido como Cuenta de desembolso portuario estimada necesaria para el buque cisterna químico y petrolero llamado MT. Sinar Molucas. No solo era un barco real registrado bajo la bandera de Indonesia, sino que había salido de su puerto el 12 de abril y se esperaba que llegara a su destino dos días después. El correo electrónico se envió a 18 empresas, 15 de las cuales eran empresas de envío en Filipinas.
“Este correo electrónico sirve como otro ejemplo de hasta dónde llegarán los atacantes para aclarar sus hechos, hacer que el correo electrónico parezca legítimo y apuntar específicamente a una vertical.
Exceso inducido por la pandemia
Es probable que las campañas sean un intento de obtener información celosamente guardada sobre las negociaciones actuales entre Rusia, Arabia Saudita y otros productores de petróleo que luchan con un exceso de crudo como resultado de la pandemia de coronavirus. Bitdefender dijo que esta no es la primera vez que las empresas de esta industria han sido atacadas. La firma de seguridad ha estado rastreando una serie de ataques cibernéticos contra compañías de energía durante el último año. Desde septiembre, el número ha aumentado cada mes y alcanzó un pico en febrero con más de 5.000. Ha habido más de 13.000 ataques este año.
Ambas campañas recientes entregan archivos que instalan Agent Tesla, una oferta de malware como servicio que cobra varios precios según diferentes modelos de licencia. El troyano, que ha estado disponible desde 2023, tiene una variedad de capacidades que incluyen «técnicas de evasión de seguridad, persistencia y sigilo que finalmente le permiten extraer credenciales, copiar datos del portapapeles, realizar capturas de pantalla, captura de formularios y funcionalidad de registro de teclas, e incluso recopilar credenciales para una variedad de aplicaciones instaladas”.
Las empresas en los EE. UU. fueron las más atacadas, seguidas por el Reino Unido, Ucrania y Letonia.
“Lo interesante es que, hasta ahora, no se ha asociado con campañas dirigidas a la vertical de petróleo y gas”, agregaron los investigadores de Bitdefender.
La campaña brinda un recordatorio de que, a pesar de la creciente conciencia de los ataques de phishing, siguen siendo una de las formas más efectivas para que los atacantes se afiancen en las empresas objetivo. Incluso cuando los correos electrónicos de phishing contienen errores ortográficos, errores gramaticales y otras fallas, los destinatarios a menudo asumen correctamente que esos son el resultado de que los remitentes escribieron en un segundo idioma. Los phishing tan bien elaborados como estos tienen una probabilidad de éxito aún mayor.
