El proveedor de servicios de marketing por correo electrónico Mailchimp, ha confirmado que ha sido víctima de un ciberataque haciendo uso de ingeniería social. El objetivo era acceder a clientes del sector financiero y con cartera de criptomonedas.
Se trata de un sofisticado ataque combina ingeniería social y ataques a la cadena de suministro que los ciberdelincuentes están utilizando en sus campañas. Según la compañía, parte de su personal habría accedido a estos correos electrónicos en los que se les robó sus credenciales para tener acceso a 100 listas de correo de Mailchimp.
La CISO de la compañía, Siobhan Smith, ha manifestado que el equipo de seguridad de Mailchimp fue conocedor de esta brecha durante dos semanas. De hecho, el pasado 26 marzo detectaron que un actor malintencionado había accedido a una de las herramientas internas que utilizan los equipos para atención al cliente y la gestión de cuentas. «Un actor externo propagó el incidente que llevó a cabo un exitoso ataque de ingeniería social contra los empleados de Mailchimp, lo que comprometió credenciales de los empleados», apunta Smyth.
La responsable destaca que actuaron rápidamente cancelando el acceso a las cuentas de sus empleados y tomaron medidas para impedir que otros trabajadores de la compañía se vieran afectados. Sin embargo, los ciberdelincuentes consiguieron acceder a 300 cuentas de Mailchimp explotando los datos de audiencia de 102 de ellas.
Sin querer entrar al detalle de los datos a los que han tenido acceso los responsables del ciberataque, la firma apunta que en su objetivo estaban los clientes del sector financiero y las criptomonedas.
Por el momento, nadie ha reivindicado la autoría de este ciberataque.
Trezor, afectada por el ataque a Mailchimp
La única compañía que ha confirmado que se ha visto afectada por este ciberataque es el fabricante de carteras de criptomonedas Trezor. Un correo electrónico de phishing enviado a las víctimas afirmaba que la empresa de almacenamiento de cifrado había experimentado un «incidente de seguridad relacionado con datos pertenecientes a 106 856 de [sus] clientes» y que la seguridad de sus billeteras se había visto comprometida.
Aquellos que siguieron las instrucciones descargaron lo que les dijeron que era la «última versión de Trezor Suite» para configurar un nuevo PIN.
La aplicación a la que se dirigió a las víctimas es un duplicado de la aplicación real de Trezor que solicita a los clientes que conecten su billetera e ingresen su semilla de recuperación, una serie de palabras generadas por la billetera criptográfica que brinda acceso de emergencia a sus contenidos digitales a la víctima. y luego a los actores de la amenaza.
En este punto es donde se expandió el ataque ya que esta semilla de recuperación da acceso completo a la cuenta, la billetera, las contraseñas y todos los datos.
Desde Trezor han calificado este ataque como «excepcional en su sofisticación y claramente planeado con un alto nivel de detalle». En una publicación de blog, la compañía apunta que la aplicación de phishing es una versión clonada de Trezor Suite con una funcionalidad muy realista y que también incluye una versión web de la aplicación.
Desde entonces, Trezor ha desconectado los dominios de phishing y ha desactivado las claves API afectadas, pero es probable que los piratas informáticos hayan robado información personal a muchos clientes. Aún sigue la comprobación de cuantas cuentas se han visto afectadas.
Sin duda, este ciberataque muestra la tendencia actual en cuanto a la sofisticación en el uso de la ingeniería social. En este caso, el ataque estaba planeado al mínimo detalle en cada una de sus fases. En primer lugar, han sabido diseñar socialmente a los empleados y servicios al cliente de Mailchimp y, a partir de ahí, han buscado las claves API de las empresas de criptodivisas.
Esto constata la importancia que está adquiriendo la ingeniería social en muchas campañas actuales de piratería, debido a que, en realidad, todas buscan acceder a los datos y credenciales. Eso está llevando a los ciberdelincuentes a desplegar una amplia variedad de tácticas como ataques a la cadena de suministro e ingeniería social, para atacar los problemas organizacionales inherentes al trabajo híbrido, el error humano y la TI en la sombra (Shadow IT).
Además, algunos analistas apuntan que esta tendencia tendrá un largo recorrido ya que, ante la mejora de los sistemas de seguridad que implementan las organizaciones, buscan la brecha por la que colarse en el error humano. La tecnología mejora, pero las personas siempre tienen el mismo comportamiento, lo que llevará a buscar explotar las debilidades de las personas mediante ingeniería social.
