Recientemente, desde Sophos documentamos una fuerte caída del spam que parecía estar bajo la influencia de una botnet bien conocida que permanece silenciosa, haciendo que los volúmenes globales de spam cayeran drásticamente. Esta caída en el spam no parecía ser consecuencia de ninguna acción que hubiéramos llevado a cabo como comunidad de ciberseguridad para disminuir el tamaño de la botnet:
“El motivo por el que [esta red de bots, conocida como Necurs] ha cesado su actividad esta vez, y cuánto tiempo dura este “corte”, se desconoce, pero por supuesto que volverá volúmenes anteriores. [. . .]”.
“También sabemos que el botnet de Necurs no está completamente muerto, simplemente se ha vuelto mucho más silencioso de lo que ya era. En otras palabras, si tu ordenador forma parte de la botnet Necurs, todavía sigue infectado a la espera de instrucciones, y podría recibir un comando para volver a despertar y comenzar de nuevo a enviar spam en un futuro”.
Por lo tanto, podríamos decir que la mayoría de las personas que habían sido infectadas justo antes de que el volumen de spam se desplomara aún siguen infectadas, dejando a los ciberdelincuentes la puerta abierta para volver de nuevo en cualquier momento. En otras palabras, la caída en la tasa de spam parece ser obra de los propios ciberdelincuentes. Aparentemente, se tomaron un descanso de spamming por una razón aún desconocida que podría ir desde haberse tomado unas vacaciones hasta estar escondiéndose de las fuerzas policiales o de un grupo rival.
Por lo tanto, lo que estaba por venir dependía de si, como comunidad, nos tomamos la molestia de comprobar si nosotros mismos estábamos entre los usuarios “zombificados” cuyos ordenadores podrían volver a afectar Internet en un futuro.
Regreso al futuro
Ese futuro podría haber llegado ya, puesto que los volúmenes globales de spam han repuntado en las últimas 24 horas de nuevo a la mitad del nivel de los picos mostrados anteriormente. Hace muy pocos días, el ratio de spam por hora superó en más de cinco puntos la tasa de spam base anterior, lo que hace pensar que los zombis Necurs que estaban «en reposo» y que todavía andan por ahí sueltos sin ser detectados, han sido llamados de nuevo a filas.
Los volúmenes globales de spam han repuntado en las últimas 24 horas de nuevo a la mitad del nivel de los picos mostrados anteriormente.
Curiosamente, esta vez no se trata de un malware que se esté explotando, sino de un tipo de estafa de la vieja escuela que hacía ya un tiempo que no se veía, principalmente porque no funcionó muy bien en el pasado: el conocido como “pump and dump”. Donde en lugar de hacer que los destinatarios de phishing hagan clic en enlaces maliciosos, realizar encuestas dudosas o la apertura de documentos trampa, en este fraude trata sobre la compra de acciones.
Esta clase de timo bursátil consiste en seleccionar y comprar un tipo de acciones baratas, difundir un rumor creíble vía email con el objetivo de inflar artificialmente su precio sumándole cada vez más y más víctimas al fraude, para después vender los estafadores sus acciones a un precio más alto y sacar beneficio, y pasar a caer el precio de las acciones perdiendo los inversores todo su dinero invertido.
¿Funcionó?
Los tiempos que se tomaron para este timo fueron interesantes. InCapta, Inc (INCT), compañía que se utilizó para llevar a cabo esta estafa, es lo que a menudo se llama una «penny stock» (empresas que cotizan por menos de 1 dólar americano, generalmente con baja capitalización y poca reputación), incluidas en una compañía de valores alternativos en Estados Unidos llamada OTC, anteriormente Pink Sheets.
El mercado más informal de OTC se llama OTC Pink, y cuenta con algunos riesgos claramente marcados:
“El Pink Open Market ofrece operaciones en un amplio espectro de valores a través de cualquier broker. Sin mínimos estándares financieros, este mercado incluye compañías extranjeras que limitan su información, penny stocks y sociedades pantalla, así como otras en dificultades, morosas y algo oscuras que no están dispuestas o no son capaces de proporcionar información adecuada a los inversores. Como Pink requiere un mínimo en términos de información sobre la compañía, se recomienda encarecidamente a los inversores que procedan con cautela e investiguen minuciosamente las compañías antes de tomar cualquier decisión de inversión”.
Pero simplemente llevando a cabo una mínima búsqueda sobre INCT se revelaría que su objetivo es ser una compañía de medios que hace programas de televisión, entre otras cosas, y que en el momento en que se puso en marcha esta campaña de spam, parece ser que emitió un comunicado de prensa anunciando la realización de un nuevo programa semanal.
Ni una sola palabra sobre ninguno de los temas que aparecían en los mails fraudulentos que propiciaron el timo, donde se hablaba de que la compañía revolucionaría el mundo de los drones o el cloud computing, absolutamente ni rastro de nada que corroborase las afirmaciones de los spammers.
De primeras, parece ser que la estafa funcionó: el precio de la acción subió repentinamente al comenzar el 20 de marzo de 2017, habiendo cerrado a 13 centavos el viernes anterior subió hasta los 24 centavos el lunes a las 09:30 por la mañana.
El precio entonces volvió a bajar unos 15 centavos a lo largo de ese día.
Con más de cinco millones de operaciones el lunes, las acciones del INCT estaban más ocupadas que durante todo el último año; Irónicamente, sin embargo, sólo un pequeño número de esas operaciones ocurrió en el precio máximo de 24 centavos, lo que habría limitado la cantidad de «dinero de volcado» que alguien podría haber extraído en ese pico.
Es posible sospechar que quienes recibieron el spam también estaban influenciados por el drástico aumento de 17 veces en el precio de INCT de hacía tan sólo tres meses, donde se produjeron cerca de dos millones de operaciones a un precio de tan sólo 7,5 centavos, seguido de un aumento durante la Navidad hasta que el precio alcanzó los 1,31 dólares, muy cerca de las supuestas promesas que hacían los ciberdelincuentes.
Alguien podría haber cobrado perfectamente en enero de 2017 (desde Sophos no detectamos evidencias de spam relativo a las acciones de INCT en ese momento), y esa parte del gráfico del precio de las acciones podría muy bien haber convencido a la gente de que las afirmaciones de terceros que ofrecían un 100% de retornos, después de todo, podían ser legítimas.
¿Qué hacer?
– Si suena demasiado bueno para ser verdad, seguramente no sea cierto.
– Si parece ilegal, posiblemente lo sea.
– Si se trata de un correo electrónico masivo no solicitado que te confía un secreto, tan “sólo” lo sabrás tú y otros 30 millones de beneficiarios.
– Detente y piensa, antes de conectar (o, en este caso, directamente no conectes).
La mejor manera de acabar con una botnet es encontrar y eliminar todos los bots, es decir, los ordenadores infectados en todo el mundo. Es un poco como deshacerse de la basura de nuestras calles, algo trivial si cada uno cumple con su parte, pero se convierte en todo un desafío si dejamos a unos pocos que se encarguen de toda nuestra suciedad. ¿Por qué hoy en día no escaneamos y acabamos con todos estos “zombies” de nuestros ordenadores? ¡Hazte parte de la solución, y no formes más tiempo parte del problema!”.