Group-IB: tras los pasos de Silence y TA505

"<yoastmark

Group-IB: nuevos ataques con motivación financiera en Europa occidental atribuidos a actores de amenazas de habla rusa

La compañía de ciberseguridad Group-IB, con sede en Singapur que se especializa en la prevención de ataques cibernéticos, ha detectado ataques exitosos en Europa occidental a fines de enero de 2020.

Al menos dos empresas que operan en los sectores farmacéutico y manufacturero se han visto afectadas.

Group-IB ha contactado inmediatamente a las víctimas al ser descubiertas.

Las herramientas utilizadas en los ataques se remontan a Silence y TA505, grupos cibercriminales de motivación financiera de habla rusa.

Según los investigadores de la industria, se sabe que TA505 ha llevado a cabo ataques contra bancos, minoristas de instituciones médicas y otras empresas en el pasado.

Al mismo tiempo, los bancos y las organizaciones financieras han sido durante mucho tiempo los únicos objetivos del Silence.

Si estos últimos son los culpables, esta es la primera vez que la banda cibercriminal ha lanzado ataques contra compañías farmacéuticas y manufactureras y puede indicar un cambio significativo en su modus operandi.

Las muestras de malware utilizados en los ataques europeos aparecieron en VirusTotal el 2 de febrero y se han clasificado como

Silence.ProxyBot(MD5: ce04972114bbd5844aa2f63d83cdd333) y 2 versiones mejoradas de Silence.

MainModule (363df0b3c8b7b390573d3a9f09953feb y 800060b75675493f2df6d9e0f81474fd).

Durante el análisis de estas muestras, el equipo de Inteligencia de caza de amenazas del Group-IB identificó al menos dos empresas afectadas de Bélgica y Alemania.

Group-IB notificó a las víctimas y les proporcionó toda la información para detener los incidentes.

Además de las víctimas, los expertos del Group-IB han logrado establecer los CnC utilizados durante los ataques 195.123.246 [.] 126 y 37.120.145 [.] 253.

El primero ha estado activo desde finales de enero de 2020

Un análisis adicional de la infraestructura de los ciber delincuentes reveló que otros dos ejecutables probablemente se habían implementado durante la campaña europea: un exploit LPE para CVE-2019-1405 y CVE-2019-1322 (comahawk.exe) y un escenificador de Meterpreter TinyMet. Es importante tener en cuenta que TinyMet se comprimió con un empacador desarrollado por TA505, un viejo amigo de Silence en el negocio.

La supuesta conexión entre Silence y TA505 se describió por primera vez en el reciente informe del Group-IB “Silence 2.0: Going Global”.

Se informa que FlawedAmmyy, una RAT que proporciona acceso completo a máquinas infectadas, se ha utilizado en algunos de los ataques recientes de TA505.

Los investigadores del Group-IB llevaron a cabo un análisis comparativo de Silence.Downloader y FlawedAmmyy.

Downloader que reveló que estos programas probablemente fueron desarrollados por la misma persona, un hablante ruso que participa activamente en foros clandestinos.

TA505 en la mira de Group-IB

A fines de 2019, se llamó a especialistas DFIR del Group-IB para abordar el ataque de Silence en Europa, que también se llevó a cabo con la ayuda de TA505: este último probablemente proporcionó acceso a la red del banco comprometido a la pandilla de Silence.

Los últimos hallazgos de Group-IB confirman la conexión entre los dos actores de la amenaza.

“Si bien aún se desconoce el alcance del daño causado, la elección de los objetivos, que no son ortodoxos para Silence, da alguna base para creer que esto fue un ataque de ransomware o que estas compañías se vieron comprometidas como parte de un complejo ataque a la cadena de suministro” comenta Rustam Mirkasymov, Jefe del Departamento de Análisis Dinámico de Malware de Grupo-IB.

“Habiendo analizado el conjunto de herramientas utilizado en la campaña, podemos asumir con moderada confianza que Silence estaba detrás de los ataques.

Siempre existe la posibilidad de que las herramientas de Silence hayan sido vendidas a otro actor de amenazas o prestadas por TA505, por ejemplo.

Ligeras modificaciones de los vectores Silence.ProxyBot y Silence.MainModule pueden explicarse por los intentos de la banda cibercriminal para evitar la detección como resultado de estar en el centro de atención de los investigadores de seguridad durante algún tiempo “.

Silence 2.0: Going Global

Según el informe “Silence 2.0: Going Global” del Group-IB, publicado en agosto, Silence expandió significativamente su geografía y aumentó la frecuencia de sus ataques.

La cantidad total confirmada de fondos robados por Silence se ha multiplicado por cinco desde la publicación del informe original del Group-IB sobre Silence, y ahora se estima en USD 4,2 millones.

El equipo de inteligencia de amenazas del Group-IB estableció que Silence ha realizado una serie de cambios en sus TTP y ha mejorado su arsenal.

Dado que esta banda cibercriminal representa una amenaza creciente, los dos informes del Group-IB sobre Silence (“Silence: moviéndose hacia el lado oscuro” y su secuela, “Silence 2.0: Going Global”) se han puesto a disposición del público para ayudar a los especialistas en ciberseguridad con atribuciones adecuadas y para prevención de nuevos incidentes.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam