Redacción 3 julio, 2019
silence-group

Group-IB, ha establecido que Silence, un grupo de ciberdelincuentes de habla rusa, probablemente esté detrás del ataque descarado en los cajeros automáticos de Dutch-Bangla Bank, lo que arrojó un robo de $ 3 millones. por los medios locales.

La cantidad real de dinero robado por el Grupo Silence podría ser mucho mayor.

Este es uno de los ataques internacionales más recientes de dicho grupo, que indica que la pandilla ha expandido su geografía y se ha globalizado, concentrándose ahora en los mercados APAC.

La etapa final del ataque cibernético descarado, que comenzó meses antes, tuvo lugar en Dhaka el 31 de mayo de 2019, según los informes de los medios locales.

En el video de CCTV publicado por los periódicos locales, dos mulas ucranianas con el rostro cubierto se ven retirando dinero de los cajeros automáticos de Dutch-Bangla Bank.

Silence APT
Silence APT

Hicieron llamadas telefónicas cada vez antes de retirar dinero, lo que provocó inmediatamente el interés del equipo de inteligencia sobre amenazas del Group-IB e indicó que esto podría ser la participación de un grupo cibercriminal con motivación financiera organizado en lugar de un simple ataque de rozamiento.

En ese momento, el equipo de inteligencia de amenazas del Group-IB ya sabía que este grupo cibercriminal había estado realizando operaciones en Asia.

Group-IB ha estado rastreando Silence y su infraestructura desde 2016 y publicó un informe “Silence: Moving into the darkside” en septiembre de 2018, que fue el primero en describir en detalle las tácticas y herramientas del grupo.

La información recopilada por el equipo de inteligencia de amenazas del Group-IB y el amplio conocimiento sobre la infraestructura de Silence sugirieron que los anfitriones de Dutch-Bangla Bank con direcciones IP externas 103.11.138.47 y 103.11.138.198 habían estado comunicándose con C&C de Silence (185.20.187.89) desde al menos febrero de 2019.

Durante el ataque a Dutch-Bangla Bank, los cibercriminales probablemente usaron los siguientes troyanos: Silence.Downloader (también conocido como TrueBot), Silence.MainModule (MD5 fd133e977471a76de8a22cc009898b2) que permite ejecutar comandos remotos de forma clandestina y descargar archivos del servidor comprometido, de los demás.

ProxyBot (MD5 2fe01a04d6beef14555b2cf9a717615c), que ejecuta las tareas del servidor proxy y le permite al atacante redirigir el tráfico desde un nodo oculto a un servidor de desconexión a través de una PC comprometida.

Una vez que obtuvieron acceso a la infraestructura del banco, Silence pasó a la siguiente etapa del ataque: el retiro de dinero.

Uno de los casos se mostró en el circuito cerrado de televisión del 31 de mayo publicado por los medios locales.

Basándose en los TTP utilizados por Silence, el dinero podría haber sido robado de una de estas dos formas: los piratas informáticos podrían haber comprometido el sistema de procesamiento de tarjetas del banco o utilizar el software Atmosphere, un conjunto de herramientas para el jackpot de cajeros automáticos.

La descripción detallada del conjunto de herramientas de este grupo criminal está disponible en el informe del  «Silence: Moviéndose hacia el lado oscuro«.

«Lo que vemos ahora es que Silence continúa cambiando su enfoque de la CEI y los países vecinos a los mercados internacionales», comenta Rustam Mirkasymov, Jefe de Análisis Dinámico de Código Malicioso en el Group-IB.

“Habiendo probado sus herramientas y técnicas en Rusia, este grupo ha adquirido la confianza y la habilidad necesarias para ser una amenaza internacional para los bancos y las empresas. Asia llama especialmente la atención de los cibercriminales.

Dutch-Bangla Bank no es la primera víctima en la región. En total, somos conscientes de al menos 4 objetivos que el grupo cibercriminal ha atacado recientemente en Asia «.

Sobre el Grupo Silence

Silence es un grupo activo, aunque muy pequeño, de hackers de habla rusa.  Group-IB detectó por primera vez la actividad de Silence en 2016.

A lo largo de su «trabajo», los sistemas de gestión bancaria de de este grupo criminal atacaron, los sistemas de procesamiento de tarjetas y el sistema ruso de transferencias interbancarias (AWS CBR).

Los objetivos de la pandilla se encuentran principalmente en Rusia, Ucrania, Bielorrusia, Azerbaiyán, Polonia y Kazajstán, aunque se enviaron correos electrónicos de suplantación de identidad a empleados de bancos en Europa Central y Occidental, África y Asia.

Recientemente, el Group-IB ha detectado que Silence cambia su enfoque de la CEI y los países vecinos a los mercados internacionales.

El informe «Silence: Moving into the darkside» se publicó en septiembre de 2018 y fue el primero en describir las tácticas y herramientas de Silence.

 

 

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Enlaces Relacionados

Apagón Masivo, otro punto oscuro de 2019

Libra, solo quedan dudas para 2020

Netskope Threat Research Labs descubrió ataque en Google Sites

Waterbug: 3 campañas de espionaje gubernamental

 

A %d blogueros les gusta esto: