Una botnet de sextorsión podría afectar a 27 millones de víctimas

Las botnet son una de las herramientas preferidas por los ciberdelincuentes para llevar a cabo acciones criminales a gran escala. Gracias a ellas, se apoderan del control de miles de dispositivos para desplegar ataques distribuidos de denegación de servicios (DDoS), ataques a aplicaciones web para robar datos, etc.

En este caso, la compañía de ciberseguridad Check Point ha descubierto una botnet que utiliza más de 450.000 equipos infectados para emitir millones de mensajes de extorsión sexual a receptores inocentes. Esta botnet, llamada Phorpiex, puede enviar hasta 30.000 correos electrónicos por hora, con lo que cada campaña puede llegar a afectar a 27 millones de potenciales víctimas.

Como suele ser habitual, el objetivo es puramente económico. Durante los cinco meses que ha durado la investigación, Check Point ha localizado transferencias de más de 11 bitcoins a carteras electrónicas asociadas a Phorpiex, por un valor superior a 110.000 dólares. Es decir, más de 22.000 dólares al mes,

La compañía advierte de que las campañas de extorsión a través de correo electrónico son una tendencia al alza. Según el informe de 2018 del FBI IC3 (Internet Crime Complaint Center), los correos de extorsión crecieron un 242% en el último año, generando unas pérdidas de 83 millones de dólares en todo el mundo.

Además, dicho informe destaca que la mayoría de los emails de extorsión por email corresponden a acciones de sextorsión, como sucede con las últimas campañas desplegadas por Phorpiex. Es estos casos, los cibercriminales envían un correo electrónico con el que se chantajea a la víctima, exigiendo un pago bajo la amenaza de mostrar contenido sexual del receptor del mensaje.

En realidad, la botnet Phorpiex es una vieja conocida, pues lleva activa más de una década. Check Point explica que anteriormente obtenía beneficio económico mediante la distribución de distintas familias de malware, como GandCrab, Pony o Pushdo, utilizando a sus víctimas para minar criptomonedas. Ahora, se ha reorientado hacia la sextorsión.

Phorpiex emplea un bot para descargar una base de datos de correos electrónicos desde un servidor de mando y control (command & control, C&C). Después, elige una dirección al azar y elabora un mensaje a partir de varias cadenas de texto codificadas.

Check Point hace hincapié en un aspecto interesante de sus últimas campañas de spam. Ha detectado que está usando bases de datos que combinan direcciones de correo electrónico y contraseñas que han sido filtradas. De este modo, en el mensaje que se envía a la víctima, se añade su contraseña, como estrategia de amenaza y para persuadir más. De hecho, se coloca la contraseña al principio del mensaje con el fin de preocupar más a la víctima.

“Además de los principales peligros asociados a las campañas de sextorsión, como los riesgos para la privacidad y las pérdidas económicas, subyace otro importante problema relacionado con el hecho de que las contraseñas de los usuarios se vean expuestas”, declara Eusebio Nieva, director técnico de Check Point para España y Portugal.

En este sentido, recuerda que muchos usuarios recurren a la misma clave para varios servicios, facilitando el acceso de los ciberdelincuentes a una mayor cantidad de información de la víctima -redes sociales, otros correos…-, pudiendo multiplicar las consecuencias de estos ataques. De este modo, insiste en la importancia de no utilizar siempre la misma contraseña.