Grupo de hacking ruso está atacando a bancos de todo el mundo
Silence APT , un grupo cibercriminal de habla rusa, conocido por atacar organizaciones financieras principalmente en los antiguos estados soviéticos y países vecinos, ahora está atacando agresivamente a bancos en más de 30 países de América, Europa, África y Asia.
Activo desde al menos septiembre de 2016, la campaña exitosa más reciente del grupo Silence APT fue contra el Dutch-Bangla Bank con sede en Bangladesh, que perdió más de $ 3 millones de dólares durante una serie de retiros de efectivo en cajeros automáticos, en un lapso de varios días.
Según un nuevo informe, la empresa de seguridad cibernética con sede en Singapur, Group-IB, que compartió con The Hacker News, el grupo de hacking ha ampliado significativamente su geografía en los últimos meses, ha aumentado la frecuencia de sus campañas de ataque y ha mejorado su arsenal.
Los informes también describe la evolución del grupo de hacking Silence de “hackers jóvenes y altamente motivados” a uno de los grupos de amenazas persistentes avanzadas (APT) más sofisticados, que ahora representa amenazas para los bancos de todo el mundo.
Técnicas mejoradas
El grupo de hacking Silence APT ha actualizado su TTP único (tácticas, técnicas y procedimientos) y ha cambiado sus alfabetos de cifrado, cifrado de cadenas y comandos para que el bot y el módulo principal evadan la detección, mediante herramientas de seguridad.
“Además, el actor ha reescrito completamente TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque del grupo. Los hackers también comenzaron a usar Ivoke, un cargador sin archivos y un agente EDA, ambos escritos en PowerShell”. Afirman los investigadores.
EDA es un agente de PowerShell, diseñado para controlar sistemas comprometidos, mediante la realización de tareas a través del shell de comandos y el tráfico de túnel mediante el protocolo DNS, y se basa en los proyectos Empire y dnscat2.
Al igual que la mayoría de los grupos de hacking, Silence también se basa en correos electrónicos de phishing con macros Docs o exploits, archivos CHM y accesos directos .LNK como archivos adjuntos maliciosos, para comprometer inicialmente a sus víctimas.
Una vez logran vulnerar una organización, el grupo aprovecha TTP más sofisticados e implementa malware adicional, ya sea TrueBot o un nuevo lector PowerShell sin archivos llamado Ivoke, ambos diseñados para recopilar información sobre un sistema infectado y enviarlo a un servidor de comando y control intermedio.
Elección de objetivos
Para elegir sus objetivos, el grupo primero crea una “lista de objetivos” actualizada de direcciones de correo electrónico activas mediante el envío de “correos electrónicos de reconocimiento”, que generalmente contienen una imagen o un enlace sin un payload malicioso.
“Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa “, afirman en el informe.
“En noviembre de 2018, Silence trató de apuntar al mercado asiático por primera vez en su historia. En total, Silence envió alrededor de 80,000 correos electrónicos, con más de la mitad de ellos dirigidos a Taiwán, Malasia y Corea del Sur”.
Con las últimas campañas del grupo Silence APT, desde mayo de 2018 hasta el 1 de agosto de 2019, los investigadores describieron el aumento en el daño de sus operaciones y confirmaron que la cantidad de fondos robados por Silence se había multiplicado por cinco desde su etapa inicial, estimando la pérdida total de $4.2 millones.
Además de esto, los investigadores de Group-IB también sospechan que TrueBot (también conocido como Silence.Downloader) y el malware FlawedAmmyy han sido desarrollados por la misma persona, ya que ambos malware se firmaron con el mismo certificado digital.
FlawedAmmyy es un troyano de acceso remoto (RAT), asociado con TA505, un grupo de amenaza independiente de habla rusa, responsable de muchos ataques a gran escala que involucran ataques de correo electrónico altamente dirigidos, así como campañas masivas de mensajes, miles de millones de mensajes desde al menos 2014.
Rápida expansión
“La creciente amenaza planteada por Silence y su rápida expansión global nos llevaron a hacer públicos ambos informes, para ayudar a los especialistas en ciberseguridad a detectar y detener correctamente los ataques mundiales de Silence en una etapa temprana”, afirman los investigadores.
Los investigadores de Group-IB no compartieron los nombres de los bancos a los que apuntó Silence APT, pero dijeron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el “Banco de TI” ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).
Group-IB ha publicado hallazgos más detallados sobre Silence APT en su nuevo informe titulado “Silence 2.0: Going Global”. Puedes acceder al informe para obtener más información.