AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### El Grupo TA4903 Intensifica el Uso de Vishing y Suplantación Física para Robar Datos y Extorsionar Empresas

admin

#### Introducción

En los últimos meses, se ha detectado un incremento significativo en la actividad de TA4903, un grupo cibercriminal con motivación financiera que está combinando técnicas de vishing, suplantación de personal de IT e incluso intrusiones físicas en oficinas para sustraer información corporativa sensible y extorsionar a sus víctimas. Este modus operandi híbrido representa una evolución preocupante dentro del panorama de amenazas, ya que explota tanto vectores digitales como humanos para maximizar la eficacia de sus ataques.

#### Contexto del Incidente o Vulnerabilidad

TA4903, identificado previamente por su implicación en campañas de ingeniería social, está empleando un enfoque multifacético que integra llamadas fraudulentas (vishing), suplantación de empleados del departamento de IT y acceso físico a las instalaciones. El objetivo principal de la campaña es obtener credenciales de acceso, información confidencial y documentación interna para extorsionar a organizaciones de diversos sectores, especialmente aquellas con una madurez intermedia en ciberseguridad.

La sofisticación del grupo reside en su capacidad para analizar previamente a sus objetivos, identificar empleados clave y coordinar acciones tanto remotas como presenciales para maximizar el éxito de sus operaciones.

#### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

La metodología de TA4903 se estructura en varias fases, alineadas con técnicas del marco MITRE ATT&CK:

– **T1598 – Spearphishing Voice (Vishing):** El grupo realiza llamadas telefónicas haciéndose pasar por miembros del soporte técnico o del departamento de IT, solicitando a los empleados que revelen sus credenciales o que instalen software malicioso bajo pretextos plausibles.
– **T1078 – Valid Accounts:** Una vez obtenidas las credenciales, acceden a sistemas corporativos empleando conexiones VPN o RDP legítimas.
– **T1566.001 – Phishing con Suplantación de Identidad:** En algunos casos, refuerzan el engaño enviando correos electrónicos que simulan notificaciones internas.
– **T1059 – Command and Scripting Interpreter:** Tras el acceso inicial, despliegan scripts automatizados para la exfiltración de datos.
– **T1071 – Application Layer Protocol:** Los datos robados son exfiltrados mediante canales cifrados (HTTPS) o herramientas como Rclone y exfiltradores personalizados.

La novedad en su operativa es la incursión física (T1650 – Physical Social Engineering), donde miembros del grupo acceden a las oficinas haciéndose pasar por técnicos de mantenimiento o personal externo autorizado, aprovechando la falta de controles de acceso o la confianza del personal de recepción.

Hasta la fecha, no se han asociado vulnerabilidades tipo CVE específicas, ya que el vector de ataque principal es la ingeniería social y la explotación de fallos en los procedimientos internos de seguridad física y lógica.

**Indicadores de Compromiso (IoC) conocidos:**
– Números de teléfono y direcciones IP asociados a campañas de vishing.
– Uso de herramientas de administración remota legítimas como AnyDesk y TeamViewer.
– Cuentas de correo electrónico registradas con dominios similares a los de la organización objetivo.

#### Impacto y Riesgos

El impacto de las campañas de TA4903 es significativo. Según análisis recientes, hasta un 40% de las empresas atacadas han sufrido filtraciones de datos sensibles, con pérdidas económicas que superan los 2 millones de euros en casos de extorsión. Además, la exposición de información confidencial afecta gravemente la reputación corporativa y puede derivar en sanciones regulatorias conforme al GDPR y la próxima directiva NIS2.

Las organizaciones con políticas de seguridad laxas o insuficientes controles de acceso físico se encuentran especialmente expuestas. Además, el uso de credenciales legítimas dificulta la detección temprana por parte de los equipos SOC, aumentando el tiempo de permanencia del atacante en los sistemas comprometidos.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este tipo de ataques combinados, se recomienda:

– **Formación continua en ciberseguridad:** Capacitar a todos los empleados en la detección de intentos de vishing y suplantación de identidad.
– **Refuerzo de controles de acceso físico:** Implementar autenticación multifactor en los accesos a las oficinas y verificar la identidad de visitantes y técnicos externos.
– **Monitorización avanzada:** Utilizar soluciones SIEM y EDR capaces de identificar comportamientos anómalos, accesos inusuales y movimientos laterales.
– **Políticas de gestión de credenciales:** Prohibir la compartición de contraseñas y rotar regularmente los accesos privilegiados.
– **Simulacros y pruebas de ingeniería social:** Realizar ejercicios de Red Team y simulaciones de vishing para evaluar la respuesta de los empleados.

#### Opinión de Expertos

Especialistas en ciberinteligencia destacan que la combinación de ingeniería social avanzada y presencia física representa una amenaza creciente para el tejido empresarial. Según Marta González, CISO de una multinacional española: “Estos ataques híbridos ponen de manifiesto la necesidad de coordinar la seguridad lógica y física bajo un enfoque Zero Trust, donde la verificación constante y la formación del personal son clave”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la implicación directa es la necesidad de revisar urgentemente sus procedimientos internos y reforzar la colaboración entre los equipos de seguridad física y cibernética. La integración de soluciones de detección automatizada y la sensibilización del personal serán esenciales para reducir la superficie de ataque.

Para los usuarios, especialmente aquellos con acceso privilegiado, es imprescindible desconfiar de solicitudes inesperadas, incluso si provienen de supuestos compañeros o técnicos de IT, y reportar cualquier incidente sospechoso de inmediato.

#### Conclusiones

La actividad de TA4903 ilustra la evolución del cibercrimen hacia técnicas cada vez más sofisticadas que cruzan la frontera entre lo digital y lo físico. La protección frente a este tipo de amenazas requiere un enfoque holístico, donde la formación, la tecnología y los procesos se alineen para anticipar y bloquear intentos de intrusión y extorsión.

(Fuente: www.darkreading.com)