El equipo de inteligencia de amenazas de Google (GTIG) ha revelado recientemente que un grupo de hackers, identificado como "UNC6783", está utilizando proveedores de servicios externos como trampolín para acceder ilegalmente a datos altamente confidenciales de grandes corporaciones. El grupo utiliza esta información para extorsionar a las empresas afectadas, y hasta la fecha, decenas de organizaciones han sido víctimas de sus ataques.
Austin Larsen, analista jefe de amenazas de GTIG, señala que UNC6783 se infiltra principalmente en proveedores de externalización de procesos de negocio (BPO) mediante técnicas de ingeniería social y phishing. Una vez dentro de los sistemas del proveedor, los atacantes aprovechan el acceso para llegar directamente a los clientes corporativos a los que presta servicio dicho proveedor.
Ataques de phishing dirigidos a sistemas de atención al cliente
Además de las intrusiones convencionales, el grupo también apunta directamente al personal de atención al cliente de las empresas objetivo. Durante sesiones de chat en vivo, los atacantes engañan a los agentes para que accedan a páginas de inicio de sesión falsas de Okta. Estos sitios de phishing imitan los dominios de las empresas objetivo y suelen utilizar patrones como "[.]zendesk-support[.]com".
Larsen explica que estos kits de phishing tienen la capacidad de interceptar el contenido del portapapeles y eludir la autenticación de doble factor (MFA), lo que permite a los atacantes registrar sus propios dispositivos como terminales de confianza. Asimismo, el grupo ha distribuido troyanos de acceso remoto (RAT) disfrazados de actualizaciones de seguridad legítimas.
Se cree que este grupo tiene vínculos con el actor de amenazas conocido como "Raccoon". Anteriormente, se informó que Raccoon logró obtener datos internos de Adobe tras comprometer a un proveedor externo en la India. Los atacantes afirmaron haber robado 13 millones de tickets de soporte, incluyendo registros de empleados, documentos internos e informes de vulnerabilidades enviados a través de HackerOne. Aunque Adobe no ha confirmado estos hechos, el grupo ha mostrado una actividad constante en el análisis de correlación de otros incidentes de ciberseguridad.
Una vez que el robo de datos se completa, UNC6783 se pone en contacto con las víctimas a través de correos electrónicos cifrados de ProtonMail para exigir el pago de un rescate.
Ante esta amenaza, Google Mandiant ha publicado una serie de recomendaciones defensivas. Las empresas deben implementar claves de seguridad FIDO2 para reforzar el MFA, intensificar el monitoreo de los canales de chat en vivo y auditar periódicamente los dispositivos registrados en el sistema de autenticación. Asimismo, los equipos de seguridad deben estar atentos para bloquear dominios falsos que imiten el patrón de Zendesk, cortando así las vías de acceso de los atacantes.