Silence, en su gira mundial mirá que países atacó en Latam

El nuevo informe de Group-IB sobre Silence: el daño de las operaciones APT de Silence se multiplica por cinco a medida que implementan nuevas herramientas en su “gira mundial”

Group-IB, ha expuesto las campañas más recientes llevadas a cabo por Silence, un grupo APT de habla rusa, en el nuevo “Silence 2.0: Going Informe global “.

Los expertos del Group-IB descubrieron que Silence ha expandido significativamente su geografía y aumentado la frecuencia de sus ataques.

Además, la cantidad total confirmada de fondos robados por Silence se ha multiplicado por cinco desde la publicación del informe original del Group-IB, y ahora se estima en USD 4,2 millones.

El equipo de Inteligencia de amenazas del Group-IB también ha revelado un vínculo entre Silence y el grupo TA505 e identificó que Silence ha realizado una serie de cambios en sus TTP y ha mejorado su arsenal, como resultado de estar en el centro de atención de los investigadores de seguridad durante algún tiempo.

Nuevo informe

Dado que el grupo cibercriminal representa una amenaza creciente, los dos informes del Group-IB sobre Silence (“Silence: Mudarse al lado oscuro” y su secuela, “Silence 2.0: Going Global”) se han puesto a disposición del público para ayudar a los especialistas en ciberseguridad con atribución adecuada y prevención de nuevos incidentes.

Group-IB ha limitado algunos de los datos en los informes que podrían dificultar las investigaciones sobre los delitos cibernéticos del grupo.

El Silence se globaliza. Mayor alcance geográfico de los ataques

Antes de abril de 2018, los intereses objetivo de Silence se limitaban principalmente a 25 estados postsoviéticos y países vecinos.

Desde que se publicó el informe “Silence: Mudarse al lado oscuro” en septiembre de 2018, el equipo de Inteligencia de amenazas del Group-IB ha detectado al menos 16 nuevas campañas dirigidas a bancos lanzadas por Silence.

Solo en 2019, Silence ha infectado estaciones de trabajo en más de 30 países de Europa, América Latina, África y Asia. Desde que se publicó el informe original del Group-IB, el daño total confirmado ha aumentado más de cinco veces, de solo USD 800,000 a USD 4.2 millones.

En julio, los expertos del Group-IB informaron que era probable que Silence fuera el autor del ataque descarado contra Dutch-Bangla Bank, cuando las mulas de dinero supuestamente conectadas a Silence fueron captadas en imágenes de CCTV que retiraban dinero de los cajeros automáticos del banco.

Otros ataques exitosos recientes atribuidos al Silence y conocidos por los especialistas del Group-IB, se detectaron en India (agosto de 2018), Rusia (febrero de 2019, el “Banco de TI” ruso), Kirguistán (mayo de 2019), Rusia (junio de 2019), Chile, Ghana, Costa Rica y Bulgaria (julio de 2019). Los cibercriminales se sienten particularmente atraídos por Asia, que es donde Silence realizó una de sus mayores campañas de reconocimiento hasta la fecha.

Dentro del sonido del Silence.

Nuevas herramientas y técnicas descubiertas

Los correos electrónicos que nunca enviaste

Como la mayoría de las APT, Silence usa correos electrónicos de phishing para infectar a sus víctimas.

Sin embargo, en octubre de 2018, Silence implementó nuevas tácticas: el grupo cibercriminal comenzó a enviar correos electrónicos de reconocimiento como parte de una etapa preparatoria para sus ataques.

El “reconocimiento” de este grupo cibercriminal parece un mensaje de “error en la entrega del correo” que generalmente contiene un enlace sin una carga maliciosa.

Dichos correos electrónicos de “reconocimiento” permiten a los ciberdelincuentes obtener una lista de correos electrónicos válidos para futuros ataques y obtener información sobre las soluciones de ciberseguridad utilizadas por una empresa objetivo mientras permanecen sin ser detectados.

El equipo de Inteligencia de amenazas del Group-IB identificó al menos tres grandes campañas de reconocimiento.

Expansión

Estas campañas se extendieron por Asia, Europa y los países postsoviéticos con más de 170,000 correos electrónicos de “reconocimiento” enviados.

La mayor campaña se centró en Asia: desde noviembre de 2018, Silence envió cerca de 80,000 correos electrónicos a organizaciones en Taiwán, Malasia, Corea del Sur, Emiratos Árabes Unidos, Indonesia, Pakistán, Jordania, Arabia Saudita, Singapur, Vietnam, Hong Kong y China.

Otra campaña a gran escala, que comenzó en octubre de 2018, se llevó a cabo en Rusia y en los estados postsoviéticos.

La campaña europea de “reconocimiento” de Silence fue la más pequeña: en octubre de 2018, el grupo envió menos de 10,000 correos electrónicos de reconocimiento a organizaciones financieras con sede en el Reino Unido.

Nuevas herramientas en el arsenal de la pandilla

La expansión global de este grupo cibercriminal atrajo la atención de los investigadores de ciberseguridad, lo que llevó a los cibercriminales a ser más cautelosos e introducir cambios en su conjunto de herramientas para complicar la detección.

En particular, en la etapa de infección inicial, además de su infame cargador primario Silence.Downloader (también conocido como TrueBot), los cibercriminales comenzaron a usar Ivoke, un cargador sin archivos, escrito en PowerShell.

Ivoke fue detectado por el equipo de Inteligencia de Amenazas del Group-IB en mayo de 2019, cuando Silence envió correos electrónicos de suplantación de identidad que pretendían ser del cliente de un banco con una solicitud para bloquear una tarjeta.

Curiosamente, Silence comenzó a usar herramientas sin archivos mucho más tarde que otras APT.

Esto respalda la hipótesis inicial de que Silence ha pasado su tiempo “poniéndose al día”: primero estudiando los enfoques de otros grupos y luego personalizándolos según sus necesidades.

Nuevas alternativas de ataque

Otra herramienta nueva en el arsenal de este grupo cibercriminal es un agente de PowerShell previamente desconocido basado en proyectos Empire y dnscat2, denominado EmpireDNSAgent o simplemente EDA por el equipo de Inteligencia de amenazas del Group-IB.

El troyano se utiliza durante la etapa de movimiento lateral y está diseñado para controlar los sistemas comprometidos mediante la realización de tareas a través del shell de comandos y el tráfico de túnel mediante el protocolo DNS.

Este programa fue descubierto por primera vez en marzo de 2019 por el Group-IB y se detectó durante los ataques más recientes de Silence a bancos en Chile, Bulgaria, Costa Rica y Ghana.

Además de su troyano Atmosphere personalizado, diseñado para controlar de forma remota los cajeros automáticos, Silence comenzó a usar xfs-disp.exe, que también es un troyano implementado durante la etapa de ejecución del ataque.

El troyano supuestamente se usó en el ataque contra el banco ruso de TI en febrero de 2019.

El Silence también ha cambiado sus alfabetos de cifrado, cifrado de cadenas y comandos para el bot y el módulo principal. Además, el actor ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque del grupo. Debido a las investigaciones en curso, el nuevo informe presenta el análisis detallado de dos de los ataques recientes de Silence, así como descripciones de sus TTP.

Presunta conexión entre Silence y TA505

Los investigadores del Group-IB creen que también podría haber una conexión entre Silence y TA505, otro actor de amenaza presuntamente de habla rusa nombrado por primera vez por investigadores de Proofpoint.

Según los informes de los medios de comunicación, los ataques recientes de TA505 apuntaban a personas que trabajan en organizaciones financieras en los Estados Unidos, los Emiratos Árabes Unidos y Singapur.

Se informa que FlawedAmmyy, una RAT sofisticada que proporciona acceso completo a las máquinas infectadas, se ha utilizado en estos ataques TA505.

Un análisis comparativo de Silence.Downloader y FlawedAmmyy.Downloader reveló que estos programas fueron desarrollados por la misma persona, un hablante ruso que participa activamente en foros clandestinos.

Dicho esto, la infraestructura utilizada para los ataques de FlawedAmmyy difiere mucho de los ataques de este grupo cibercriminal, lo más probable es que los ataques no estén conectados.

“Hace tres años, cuando comenzamos a rastrear a Silence, sus miembros eran piratas informáticos jóvenes y altamente motivados que daban sus primeros pasos tentativos en el cibercrimen atacando a bancos y organizaciones financieras en los estados postsoviéticos y países vecinos”, comenta Rustam Mirkasymov, director de Dynamic Departamento de Análisis de Malware en Group-IB.

“Al principio, el Silence mostraba signos de inmadurez en sus TTP al cometer errores y copiar prácticas de otros grupos.

Desde entonces, Silence se ha convertido en uno de los actores de amenazas más sofisticados que apuntan al sector financiero no solo en Rusia, sino también en América Latina, Europa, África y especialmente Asia.

Desde que se publicó nuestro informe original, el daño confirmado de sus operaciones ha crecido significativamente, mientras que la geografía de los ataques de Silence se expandió y algunas de sus herramientas y técnicas han cambiado.

El tamaño de la amenaza silenciosa

La creciente amenaza planteada por este grupo criminal y su rápida expansión global nos impulsó a hacer públicos ambos informes por primera vez para ayudar a los especialistas en ciberseguridad con la atribución y detección adecuadas de los ataques de Silence en las primeras etapas en todo el mundo “.

 

 

Por Gonzalo Lozano – Analista de Grandes Datos