Hackers atacaron bancos rusos

2 grupos de hackers atacaron bancos rusos en nombre del Bco Central de Rusia

Hackers atacaron bancos rusos
Hackers atacaron bancos rusos

Group-IB, compañía internacional especializada en la prevención de ataques cibernéticos, ha detectado campañas masivas de hackers dirigidas a las instituciones financieras rusas.

Los correos electrónicos fueron disfrazados para que parecieran provenir del Banco Central de Rusia y FinCERT, el Equipo de Respuesta a Emergencias Informáticas del Sector Financiero.

Los expertos del Grupo-IB han descubierto que el ataque del 15 de noviembre podría haber sido llevado a cabo por el grupo de cibercriminales del grupo Silence, y el del 23 de octubre por MoneyTaker.

El Grupo-IB considera a ambos grupos cibercriminales entre los más peligrosos para las organizaciones financieras rusas e internacionales.

Ataque de noviembre: Silence

En la mañana del 15 de noviembre, el Grupo-IB detectó una campaña de correo electrónico masivo malicioso enviado a los bancos rusos desde una dirección de correo electrónico falsa que aparentaba pertenecer al Banco Central de Rusia (CBR).

Por supuesto, la CBR no tiene nada que ver con la campaña de phishing: los piratas informáticos falsificaron la dirección del remitente.

Los certificados SSL no se utilizaron para la verificación DKIM

Los correos electrónicos con el asunto “Información del Banco Central de la Federación Rusa” pidieron a los destinatarios que revisaran la decisión del regulador “Sobre la estandarización del formato de las comunicaciones electrónicas de CBR” y que implementen los cambios de inmediato.

Los documentos en cuestión estaban supuestamente contenidos en los archivos adjuntos comprimidos, sin embargo, al descomprimir estos archivos, los usuarios descargaron Silence.Downloader, la herramienta utilizada por los cibercriminales de Silence Group.

Los expertos del Grupo-IB han observado que el estilo y el formato de los correos electrónicos eran casi idénticos a la correspondencia oficial del regulador.

Acceso

Los hackers probablemente tuvieron acceso a muestras de correos electrónicos legítimos.

De acuerdo con el informe del Grupo-IB publicado en septiembre de 2018, los miembros de las pandillas Silence supuestamente estaban o están legalmente empleados como pentesters e ingenieros de reversa.

Como tales, están muy familiarizados con la documentación en el sector financiero y la estructura de los sistemas bancarios.

Ataque de octubre: MoneyTaker

El mensaje enviado el 23 de octubre, también desde una dirección de correo electrónico falsa de FinCERT, contenía cinco archivos adjuntos disfrazados para parecer documentos oficiales de CBR.

Entre ellos se encontraba un documento titulado “Acuerdo de plantilla para la cooperación con el Banco Central de la Federación de Rusia sobre monitoreo e intercambio de información.doc“.

Tres de cada cinco archivos eran documentos de señuelo vacíos, pero dos contenían una descarga para el Meterpreter Stager.

Para llevar a cabo el ataque, los piratas informáticos utilizaron certificados SSL autofirmados.

Además, la infraestructura del servidor involucrada se había utilizado en los ataques anteriores realizados por MoneyTaker.

Todos estos factores llevaron a la conclusión de que MoneyTaker estaba detrás del ataque de octubre.

Los expertos del Grupo-IB creen que los piratas informáticos lograron obtener muestras de documentos CBR de buzones de correo comprometidos anteriormente que pertenecían a empleados de bancos rusos.

MoneyTaker

Utilizaron la información obtenida para diseñar correos electrónicos y documentos que pretendían ser de la CBR para llevar a cabo ataques dirigidos a los bancos.

Una campaña de spear-phishing creada para que pareciera que fue llevada a cabo por el Banco Central es un vector de ataque relativamente extendido entre los delincuentes cibernéticos; ha sido utilizado por grupos como Buhtrap, Anunak, Cobalt y Lurk.

En marzo de 2016, por ejemplo, los ciberdelincuentes enviaron correos electrónicos de phishing desde info@fincert.net.

En cuanto a las notificaciones genuinas del Banco Central de Rusia, en el pasado los hackers de Lurk y Buhtrap los utilizaron para enviar malware a los empleados del banco.

“Desde julio, para compartir información, FinCERT ha estado utilizando un sistema automatizado de procesamiento de incidentes que hace posible compartir de forma segura y rápida información sobre incidentes y operaciones no autorizadas basadas en la base de datos” Feed-Antifraud, comentó el servicio de prensa del Banco Central.

“El canal de respaldo para compartir información es el correo electrónico. Todos los mensajes enviados por correo electrónico contienen la firma electrónica de FinCERT “.

La información y los indicadores de ataque (IoAs) del 23 de octubre y 15 de noviembre se cargaron rápidamente a Group-IB Threat Intelligence, lo que permitió advertir a los clientes del Grupo-IB entre los bancos rusos sobre la posible amenaza.

Group-IB TDS (Sistema de detección de amenazas) detectó campañas de phishing y señaló la actividad maliciosa.

El sistema del Grupo-IB bloqueó esta amenaza en modo en línea

MoneyTaker y Silence son dos de los cuatro grupos de piratas informáticos más peligrosos que representan una amenaza real para las organizaciones financieras internacionales”, dijo Rustam Mirkasymov, Jefe de Análisis Dinámicos del Departamento de malware y experto en inteligencia de amenazas del Grupo IB.

“Los piratas informáticos de MoneyTaker utilizan todos los posibles vectores de ataque cuando se dirigen a los bancos.

Por ejemplo, pueden enviar correos electrónicos de phishing, llevar a cabo un ataque automovilístico o probar la infraestructura de red de un banco en busca de vulnerabilidades existentes.

Después de acceder a los nodos internos de la red

Los piratas informáticos son fácilmente capaces de llevar a cabo ataques y retirar dinero a través de cajeros automáticos, procesamiento de tarjetas o sistemas de transferencias interbancarias (en Rusia, el Cliente Automatizado de Estación de Trabajo del Banco Central de Rusia).

El Grupo Silence, por su parte, es menos ingenioso y solo de uso.

Un método de ataque probado y comprobado: correos electrónicos de phishing.

Sin embargo, a diferencia de sus colegas, prestan mayor atención al contenido y diseño de sus correos electrónicos de phishing “.

Acerca de Silence Group:

es un grupo activo, aunque muy pequeño de hackers de habla rusa. Grupo-IB detectó por primera vez la actividad del grupo en 2016.

En el transcurso de su ‘trabajo’, Silence atacó los sistemas de gestión bancaria, los sistemas de procesamiento de tarjetas y el sistema ruso de transferencias interbancarias (AWS CBR).

Los objetivos de la pandilla se encuentran principalmente en Rusia, Ucrania y Bielorrusia, Azerbaiyán, Polonia y Kazajstán, aunque los correos electrónicos de suplantación de identidad (phishing) se enviaron a empleados de bancos en Europa Central y Occidental, África y Asia.

Hace un mes, el Grupo IB detectó un ataque de phishing dirigido a las empresas en el Reino Unido.

El informe “Silence: Moving into the darkside” se publicó en septiembre de 2018 y fue el primero en describir las tácticas y herramientas del grupo.

Acerca de MoneyTaker MoneyTaker

Es un grupo de hackers que se cree que es responsable de 16 ataques en los Estados Unidos, 5 ataques en los bancos rusos, y 1 en el Reino Unido.

Además del dinero, los delincuentes roban la documentación sobre los sistemas de pago interbancarios que es necesaria para preparar futuros ataques.

El grupo también realiza ataques a través de intermediarios al piratear a socios de bancos, compañías de TI y proveedores de productos financieros.

En diciembre de 2017, el Grupo-IB publicó su primer informe sobre el grupo: “MoneyTaker: tras 6Q de operaciones silenciosas”.