A pesar de los pasos hacia adelante que se están dando para salir de la crisis actual, el Covid-19 se mantiene como el epicentro de la actualidad informativa, algo que los cibercriminales están aprovechando para lanzar sus campañas de ataque. De hecho, durante los últimos quince días, los investigadores de Check Point® Software Technologies Ltd., proveedor líder especializado en ciberseguridad a nivel mundial, han detectado 192.000 ciberataques semanales relacionados con la pandemia. Este dato supone un aumento del 30% en comparación con las semanas anteriores y, en esta nueva oleada,. los cibercriminales siguen apostando por el phishing como principal ciberamenaza para suplantar a entidades como la Organización Mundial de la Salud, la ONU o empresas privadas como Zoom, Microsoft Teams o Google Meet.
“En las últimas semanas hemos detectado cambios: los cibercriminales han aumentado su actividad y están poniendo el foco en suplantar la identidad de organismos gubernamentales y entidades de renombre en el ámbito de la salud para aumentar su tasa de éxito”, señala Omer Dembinsky, director de investigaciones cibernéticas de Check Point. “Además, no hay que olvidarse de la creación de dominios similares a los de servicios de videollamada como Zoom, que en las últimas semanas ha crecido sustancialmente. Por tanto, es fundamental extremar las precauciones frente a cualquier enlace o comunicación que nos llegue, sobre todo si se trata de un remitente desconocido”, añade Dembinsky.
La OMS y la ONU, en el punto de mira de los cibercriminales
Con el objetivo de captar la atención de sus víctimas, y utilizando como asunto “Carta urgente de la OMS: Primera prueba de la vacuna COVID-19 en humanos/actualización de resultados”, los cibercriminales han estado enviando campañas masivas de phishing a través de correo electrónico suplantado a la OMS desde el dominio “who.int”. Estas comunicaciones contenían un archivo llamado “xerox_scan_covid-19_carta de información urgente.xlxs.exe” infectado con el malware Agent Tesla, que permite robar contraseñas del dispositivo de la víctima. Por otra parte, los investigadores de Check Point encontraron dos ejemplos de correos electrónicos de extorsión supuestamente enviados por las Naciones Unidas y la OMS que solicitaban el envío de fondos a las carteras de bitcoin, como se ve a continuación:
Aumentan los registros de dominios similares a los de Zoom, Google Meet y Microsoft Teams
Desde enero de 2020 se han registrado en todo el mundo un total de 6.576 dominios relacionados con Zoom, de los cuáles 2.449 (37%) se han producido en las últimas tres semanas. Por otra parte, servicios similares como Google Meet o Microsoft Teams también sirven a los cibercriminales como gancho para atraer a sus víctimas por medio de correos electrónicos con el asunto “has sido añadido a un equipo en Microsoft Teams” con una URL maliciosa que, al hacer clic sobre el icono “Abrir Microsoft Teams” iniciaba la descarga de malware. Por otra parte, los investigadores de Check Point también han descubierto falsos dominios de Google Meets como “Googelmeets\.com”, que se registró por primera vez el 27 de abril de 2020. Este enlace, como era de esperar, no redirigía a ningún sitio web oficial de Google.
Miles de nuevos dominios registrados: los cibercriminales se adaptan a cada fase de la pandemia
La compañía señala que desde el comienzo del brote se han registrado más de un total de 90.000 nuevos dominios relacionados con el virus en todo el mundo, y que sólo en las últimas tres semanas ascienden a casi 20.000 (19.749), de los cuales el 2% de estos dominios son maliciosos (354) y otro 15% se consideran sospechosos (2.961). Asimismo, los expertos de Check Point alertan de que los cibercriminales se adaptan a cada fase de la pandemia, ya que los dominios registrados reflejan la cronología de la situación mundial: mapas de seguimiento de casos y webs con información sobre los síntomas al inicio, ayudas económicas hacia finales de marzo y más recientemente dominios relacionados con la vuelta a la normalidad tras el brote o una posible segunda oleada. A lo largo de todo el marco temporal de la pandemia, los dominios relacionados con los kits de pruebas y las vacunas han mantenido un nivel estable entre los más comunes.
Para estar protegidos frente a este tipo de ciberameanzas, desde Check Point señalan hay que tener cuidado frente a cualquier mensaje o archivo adjunto enviado por un emisor desconocido, buscar errores ortográficos en el cuerpo de texto o en la propia URL que den indicios de que estamos ante un dominio falso, desconfiar de ofertas especiales que ofrecen la vacuna contra el virus y, por último, no reutilizar contraseñas entre diferentes aplicaciones y cuentas.