AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberdelincuentes de Storm-2755 secuestran nóminas en Canadá mediante ataques a plataformas de gestión salarial**

admin

### 1. Introducción

Durante los últimos meses, el grupo de amenazas persistente Storm-2755 ha intensificado sus operaciones enfocadas en el robo de salarios de empleados canadienses mediante la toma de control de cuentas en plataformas de gestión de nóminas. Este actor, orientado principalmente a la obtención de beneficios económicos, ha sido identificado ejecutando una serie de ataques sofisticados conocidos como “payroll pirate attacks”, con un impacto significativo sobre empresas de distintos sectores y tamaños en Canadá.

### 2. Contexto del Incidente

Storm-2755, monitorizado por Microsoft Threat Intelligence y otros organismos, es un grupo de cibercriminales con motivación financiera que ha centrado sus actividades recientes en explotar vulnerabilidades y debilidades en los procesos de autenticación de plataformas de gestión de nóminas, como ADP, Ceridian y Workday. El modus operandi consiste en secuestrar cuentas legítimas de empleados y redirigir sus pagos salariales a cuentas bancarias controladas por los atacantes.

Estos ataques han afectado principalmente a entidades canadienses en sectores como salud, servicios financieros y administración pública, aunque se han observado incidentes similares en Estados Unidos y Europa. El vector de ataque suele implicar una combinación de ingeniería social, phishing dirigido y explotación de credenciales previamente filtradas en brechas masivas.

### 3. Detalles Técnicos

#### CVEs y vectores de ataque

Aunque hasta la fecha no se ha identificado una vulnerabilidad específica (CVE) explotada directamente en las plataformas de nóminas, la mayoría de los incidentes se han originado por:

– **Phishing altamente dirigido**: Uso de correos electrónicos personalizados que simulan comunicaciones internas, solicitando a los empleados que accedan a portales de nóminas a través de enlaces fraudulentos.
– **Credential stuffing**: Aprovechamiento de credenciales expuestas previamente en filtraciones, empleando herramientas automatizadas para acceder a los portales.
– **Ingeniería social telefónica**: Llamadas suplantando a departamentos de RRHH o soporte técnico para obtener tokens de autenticación o respuestas a preguntas de recuperación.

#### Tácticas, Técnicas y Procedimientos (TTPs) MITRE ATT&CK

– **T1566.001 (Phishing: Spearphishing Attachment)**
– **T1078 (Valid Accounts)**
– **T1192 (Spearphishing Link)**
– **T1110 (Brute Force/Credential Stuffing)**

#### Indicadores de Compromiso (IoC)

– Dominios y subdominios falsos imitando portales de nóminas corporativos.
– Direcciones IP asociadas a infraestructuras residenciales y proxies internacionales.
– Cambios súbitos en la información bancaria de empleados en los sistemas de nómina.

#### Herramientas y frameworks utilizados

Se han detectado scripts personalizados para automatizar el acceso y la modificación de datos bancarios, además del posible uso de herramientas como Metasploit para pruebas iniciales de acceso y Cobalt Strike para persistencia en redes corporativas.

### 4. Impacto y Riesgos

El impacto es especialmente crítico en términos financieros y reputacionales. Según fuentes del sector, los montos desviados por Storm-2755 oscilan entre los 5.000 y los 60.000 CAD por incidente, con un promedio de 15 empleados afectados por empresa. Además, la pérdida de confianza de los empleados y la posible exposición a sanciones regulatorias (especialmente bajo GDPR y la inminente NIS2) agravan la situación.

El riesgo de movimientos laterales y escalada de privilegios es elevado si los atacantes obtienen acceso a cuentas administrativas de RRHH o finanzas.

### 5. Medidas de Mitigación y Recomendaciones

– **Implantación obligatoria de MFA** en todos los accesos a plataformas de nómina.
– **Auditoría frecuente de cambios en datos bancarios** y alertas automáticas ante modificaciones.
– **Revisión de logs de acceso y detección de patrones anómalos** (accesos desde ubicaciones inusuales, cambios fuera de horario).
– **Campañas de concienciación y formación** sobre phishing y técnicas de ingeniería social entre empleados.
– **Despliegue de soluciones EDR** que monitoricen endpoints desde los que se accede a portales críticos.
– **Políticas de rotación de contraseñas y monitoreo de credenciales comprometidas** en dark web.

### 6. Opinión de Expertos

Tal y como señala Philippe Desjardins, analista senior de ciberamenazas en una corporación canadiense de servicios financieros: “Estos ataques demuestran la necesidad de tratar las plataformas SaaS críticas con el mismo rigor de protección que la infraestructura interna. La falta de MFA y la complacencia en los procesos de validación abren la puerta a incidentes que pueden tener un efecto dominó devastador en la organización”.

Por su parte, la Canadian Cyber Security Centre (CCSC) ha emitido recomendaciones urgentes y está colaborando estrechamente con empresas afectadas para compartir IoCs y métodos de respuesta.

### 7. Implicaciones para Empresas y Usuarios

Para los CISOs, analistas SOC y administradores de sistemas, este incidente subraya la importancia de aplicar controles Zero Trust, especialmente en aplicaciones SaaS de misión crítica. La protección de la cadena de suministro digital y la vigilancia sobre los puntos de acceso externos se vuelven esenciales en un contexto donde los atacantes buscan el eslabón más débil.

Las empresas deben revisar las cláusulas de sus pólizas de ciberseguro, ya que muchos incidentes de fraude salarial pueden quedar fuera de cobertura si se demuestra negligencia en la implantación de controles básicos de seguridad.

Para los usuarios, la concienciación y la adopción de buenas prácticas digitales son la primera línea de defensa ante amenazas de ingeniería social y phishing.

### 8. Conclusiones

El caso de Storm-2755 ilustra una tendencia en alza: los cibercriminales priorizan la explotación directa de plataformas de pago y nómina, donde el beneficio económico es inmediato y las consecuencias para las víctimas, devastadoras. Ante la sofisticación creciente de estos actores, la protección debe ser integral: desde el refuerzo técnico hasta la formación continua de los usuarios finales.

Las organizaciones que no adapten sus estrategias de ciberseguridad a este nuevo escenario corren el riesgo de convertirse en la próxima víctima de una campaña que, lejos de remitir, apunta a extenderse por otros mercados y sectores en los próximos meses.

(Fuente: www.bleepingcomputer.com)