A pesar de haber vivido en la Seguridad de la Información durante más de 20 años, esta es la primera vez que informo desde el otro lado de la ecuación, narrando un intento de ataque a Axur. Normalmente, las empresas atacadas son nuestros clientes, pero como empresa de ciberseguridad, no somos ajenos a los ataques de agentes maliciosos.

Es importante dejar claro que en el incidente no se expuso ningún dato, ni interno ni de clientes. Sin embargo, este artículo habla de cómo afrontamos el intento, principalmente, de cuáles son las principales lecciones que podemos compartir con más empresas. 

Esta historia comienza el 29 de diciembre de 2022, cuando recibí a través de Slack alertas de dominios sospechosos que utilizaban el nombre de Axur.  El dominio aún no tenía contenido y no sabíamos cuáles eran las intenciones de quien había registrado el nombre "axurbrasil.com". 

En los días siguientes, detectamos otros dominios como "axur.info" y "axur.cc", "axur.live", entre otros. Todos sin contenido, pero con DNS configurados. Los movimos todos a la sección de cuarentena de la plataforma, y una vez allí, monitoreamos el comportamiento del dominio y cualquier cambio que indicara que el estafador iba a colgar una página o se disponía a enviar correos electrónicos utilizando ese dominio. 

Teníamos mucho miedo de ver un MX configurado, lo que podía ser un fuerte indicio de un ataque de spear phishing.

El 8 de marzo recibí una llamada inusual. Era miércoles y yo estaba terminando una videoconferencia y preparándome para ayudar a mi hijo con los deberes. La persona al otro lado de la línea era el jefe de nuestro equipo de Inteligencia de Amenazas. Me decía que uno de los dominios monitoreados había cambiado de estado para reflejar la sección de inicio de sesión de la plataforma Axur.

Captura de pantalla del dominio axur.live. 

Empezamos a pensar en las motivaciones detrás del ataque. Podría tratarse de un delincuente enfadado al que detectamos y eliminamos sus campañas, alguien intentando acceder a los datos de nuestros clientes y socios, o incluso ataques de ingeniería social aplicados en nombre de Axur, como estafas de giros postales.

El phishing también podría exponer a nuestro equipo intentando robar una credencial de acceso privilegiado, que suele ser el inicio clásico de un ataque de extorsión. Si nuestro equipo no utilizaba la autenticación de segundo factor y no recibía formación continua sobre la identificación de phishing, el ataque también podría exponernos al riesgo de una fuga de credenciales de acceso privilegiado.

Independientemente de la motivación, teníamos que actuar. Pasamos a crear la sala de guerra, y en ese momento me sentí como si llevara los zapatos de todos nuestros clientes.

La preocupación es diferente para cada sector de la empresa. Mientras el equipo de Customer Success pensaba en cada cliente y en cómo podría verse afectado, el equipo administrativo pensaba en cada resultado que podría derivarse del spear phishing y el equipo de marketing se preocupaba por el posible daño a la imagen de Axur si el ataque tenía éxito.

El plan de acción

Dividimos nuestro plan de acción en tres partes, que fueron, brevemente:

Para asegurarnos de que vigilábamos todo el entorno externo y las nuevas detecciones que pudieran surgir, como perfiles falsos en redes sociales y menciones en grupos y foros de la Deep & Dark Web.

Diseñamos un plan de comunicación para nuestros clientes y socios, sin alarmismos, pero dejando clara la amenaza con total transparencia. 

Mucho se habla de la respuesta ágil, y ese día, comprendí perfectamente el peso de los segundos que pasaban y cuanto más avanzaba el reloj, mayor era la posibilidad de que alguien fuera víctima de este phishing que involucraba a Axur. El tercer paso fue eliminar la página que solicitaba el retiro, notificando a los proveedores y activando los mecanismos antifraude. Gracias a nuestra experiencia notificando miles de casos como este cada día, pudimos eliminar el phishing en menos de 2 horas.

A partir de ahí, también profundizamos en la investigación para comprender quién era el actor de la amenaza que estaba detrás de este ataque. Este punto, por supuesto, no puedo abrirlo aquí. Una vez pasado el riesgo, reflexionamos mucho sobre el intento de ataque y sobre cuál podría ser nuestro papel en el apoyo a las empresas que aún no disponen de este tipo de monitorización. 

El gran dilema para una empresa que pasa por lo mismo es: ¿Cómo detectar dominios sospechosos en un universo de cientos de miles de nuevos dominios que se registran cada día? E, inmediatamente después de identificar un dominio sospechoso, ser alertado en caso de que ese dominio suba un servidor web con contenido, o configurar MX - lo que significa que el dominio será utilizado para enviar correos electrónicos.

Entonces ideamos una solución gratuita para que la monitorización de dominios fuera más accesible para los equipos de seguridad, gestores y analistas de las empresas. 

Cómo funciona Domain Watchdog

Domain Watchdog es una herramienta online que facilita la detección y monitorización de dominios con nombres similares a los de su empresa. 

En el caso de Axur, las variaciones "axur.cc", "axur.info" y "axur.live" serían fácilmente detectadas por esta herramienta. Además, también puede monitorizar hasta 20 dominios y recibir alertas si un DNS o MX está configurado o responde al puerto 80 o 443.

De este incidente quedan las lecciones aprendidas, los procesos establecidos y la certeza de que la monitorización es siempre la mejor forma de mitigar impactos y reaccionar ante amenazas.