Skimming Digital

Skimming Digital 2024: Europol pega tremendo golpe

/ Ciberseguridad / Por

Skimming Digital: Contribución Estratégica de Group-IB en la Desarticulación de 443 Comercios en Línea Comprometidos

Skimming Digital
Skimming Digital

En el ámbito de la ciberseguridad, Group-IB, líder en la creación de tecnologías para investigar, prevenir y combatir el crimen digital, ha desempeñado un papel esencial en la reciente operación transfronteriza contra el cibercrimen conocida como “Acción de Skimming Digital”.

Bajo la dirección de Europol, esta iniciativa ha destacado la vulnerabilidad de 443 comercios en línea, representando un hito significativo en la batalla contra las amenazas digitales.

Group-IB, reconocido por su excelencia en el desarrollo de tecnologías de ciberseguridad, desempeñó un papel activo y crucial en dicha operación, aportando conocimientos y recursos clave.

La experiencia única de Group-IB en la investigación, prevención y combate del delito digital ha resultado fundamental para desentrañar la complejidad del Skimming Digital, un fenómeno que constituye una amenaza para la seguridad de comercios en línea en todo el mundo.

La participación activa de Group-IB subraya su compromiso continuo con la protección contra amenazas cibernéticas y su destacado papel en la vanguardia de la seguridad digital.

La participación estratégica de Group-IB, en estrecha colaboración con Europol, ilustra claramente la imperativa importancia de la cooperación a nivel internacional en la protección contra el cibercrimen.

La reciente Acción de Skimmig Digital, coordinada por Europol y con la valiosa participación de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), autoridades policiales de 17 países y otros socios del sector privado, resalta el poder de estas alianzas en la identificación y neutralización efectiva de amenazas digitales.

El éxito alcanzado enfatiza de manera contundente la urgencia de respuestas coordinadas ante los desafíos que la seguridad digital enfrenta a nivel global.

El skimming digital es una práctica ilícita que implica la extracción encubierta de detalles de tarjetas de crédito o pagos de usuarios que realizan transacciones en línea.

Este proceso ocurre en sitios web comprometidos con JavaScript-sniffers (JS-sniffers), que son programas maliciosos diseñados para recopilar de manera sigilosa la información financiera de los usuarios durante sus interacciones en la web.

En el contexto de la declaración proporcionada, durante la operación de dos meses, la Unidad de Inteligencia de Amenazas de Group-IB desempeñó un papel esencial al analizar y ofrecer investigaciones detalladas sobre los patrones específicos asociados al skimming digital.

Skimming Digital
Skimming Digital

Esta labor incluye la identificación de tácticas utilizadas por ciberdelincuentes para comprometer la seguridad de sitios web y extraer información confidencial de tarjetas de crédito de manera no autorizada. La contribución de la unidad de inteligencia fue fundamental para comprender y contrarrestar eficazmente este tipo de amenaza cibernética durante la operación.

Esta valiosa contribución posibilitó a Europol y sus colaboradores identificar y alertar a 443 comercios en línea cuyos datos de tarjetas de crédito o pagos de clientes estaban en riesgo de ser comprometidos.

La rapidez y precisión de esta intervención ejemplifican cómo la inteligencia especializada puede ser fundamental en la protección contra amenazas digitales.

La exitosa campaña, dirigida por Grecia, se alinea con la prioridad establecida por la Plataforma Europea Multidisciplinaria Contra Amenazas Criminales (EMPACT), que tiene como objetivo central desmantelar a los criminales involucrados en esquemas de fraude en línea.

La iniciativa encaja dentro del marco más amplio de EMPACT, que busca abordar y contrarrestar diversas formas de amenazas criminales a nivel europeo.

Este enfoque estratégico liderado por Grecia demuestra la importancia de la cooperación transfronteriza y la coordinación a nivel europeo para combatir eficazmente las amenazas cibernéticas y los esquemas delictivos en línea.

EMPACT, la Plataforma Europea Multidisciplinaria Contra Amenazas Criminales, juega un papel crucial en la coordinación y abordaje de delitos cibernéticos en Europa. En el contexto de la campaña en cuestión, EMPACT establece una estrategia unificada para desmantelar actividades fraudulentas, particularmente aquellas relacionadas con el Skimming digital.

La función de EMPACT abarca más allá de la simple identificación y neutralización de actividades delictivas. Su enfoque integral también incluye medidas preventivas para mitigar futuros ataques.

Esto implica la implementación de estrategias proactivas y la colaboración entre agencias, tanto a nivel nacional como transfronterizo, con el objetivo de fortalecer la resiliencia y proteger la integridad del espacio digital en Europa.

EMPACT se erige como una plataforma estratégica que no solo reacciona ante amenazas existentes, sino que también trabaja activamente en la prevención de delitos cibernéticos, contribuyendo así a la seguridad continua de la esfera digital en la región europea.

A lo largo de la Acción de Skimming Digital, Group-IB desempeñó un papel clave en la recopilación de datos significativos de Inteligencia de Amenazas, incluida información sobre sitios web infectados.

Este enfoque estratégico y la colaboración internacional demuestran la efectividad de abordar las amenazas digitales de manera unificada.

La operación reveló firmas de malware detectadas, dominios extraídos, puertas de enlace y URL utilizadas por los atacantes para recopilar datos o implementar otro malware.

Además, se proporcionaron instrucciones sobre la ubicación del malware empleado para ejecutar los ataques de digital skimming, conocidos como JavaScript-sniffers, en diversos sitios web.

Descripción detallada de algunas familias de JS-sniffers identificadas por la Inteligencia de Amenazas de Group-IB:

ATMZOW:

Características: ATMZOW es un JS-sniffer reconocido por su habilidad para infiltrarse en sitios web y realizar la extracción encubierta de información confidencial de tarjetas de crédito durante transacciones en línea. Esta familia de malware destaca por su enfoque sigiloso y efectivo para comprometer la seguridad de plataformas en la web.

Tácticas: ATMZOW opera de manera discreta, evitando levantar sospechas mientras recopila datos de tarjetas de crédito de usuarios desprevenidos. Sus tácticas se centran en la clandestinidad, transmitiendo la información recopilada a los actores maliciosos de manera encubierta. Este enfoque sigiloso le permite eludir las medidas de seguridad y realizar sus actividades maliciosas sin ser detectado fácilmente.

Indicadores de Compromiso (ejemplos generales):

  • URL maliciosa asociada: www.ejemplo.com/atmzow
  • Patrón de comunicación: Transmisión de datos cifrados a la IP 192.168.1.100
  • Modificaciones en el tráfico web: Aumento de solicitudes HTTP POST a sitios específicos durante transacciones financieras.

Es importante señalar que los indicadores de compromiso son ejemplos generales y que la identificación precisa de ATMZOW requeriría un análisis más detallado basado en las circunstancias específicas de un incidente.

health_check:

Características: health_check es una familia de JS-sniffer que se especializa en la detección y monitoreo de la salud de los sistemas de seguridad implementados en sitios web. Su función principal consiste en identificar posibles defensas y evaluar la robustez de las medidas de seguridad presentes. Esta capacidad le permite adaptarse de manera eficiente al entorno en el que opera, buscando eludir las medidas defensivas implementadas.

Tácticas: Este JS-sniffer utiliza su capacidad de evaluación para adaptarse de manera dinámica y evadir las medidas de seguridad desplegadas en un sitio web. health_check busca activamente posibles defensas, analizando la configuración de seguridad y la presencia de herramientas de detección. Al eludir estas defensas, facilita la recopilación encubierta de datos de tarjetas de crédito durante transacciones en línea, operando en un entorno donde su presencia pasa desapercibida.

Indicadores de Compromiso (ejemplos generales):

  • URL maliciosa asociada: www.ejemplo.com/health_check
  • Patrón de comunicación: Comunicación cifrada a través de protocolo HTTPS con un servidor remoto.
  • Comportamiento anómalo: Detección de intentos de elusión de medidas de seguridad y cambios en el tráfico de red durante transacciones financieras.

Es crucial tener en cuenta que los indicadores de compromiso son ejemplos generales, y la identificación precisa de health_check requeriría un análisis más detallado basado en el contexto específico del incidente.

FirstKiss:

Características: FirstKiss es una familia de JS-sniffers reconocida por ser pionera en ataques de digital skimming. Su distinción radica en ser uno de los primeros en adoptar esta táctica maliciosa. Además, se destaca por mantener una presencia prolongada en el ámbito de la ciberdelincuencia, lo que evidencia su persistencia y adaptabilidad a lo largo del tiempo.

Tácticas: La longevidad de FirstKiss se convierte en un atributo estratégico, ya que aprovecha su extensa presencia para evadir detecciones y realizar ataques de manera continua. Esta táctica se basa en la capacidad de adaptarse a las actualizaciones de seguridad implementadas en sitios web y sistemas, manteniéndose efectivo a pesar de los esfuerzos para contrarrestarlo. La adaptabilidad de FirstKiss a las mejoras en las defensas digitales le permite persistir y eludir medidas de seguridad que podrían haber sido efectivas contra versiones más antiguas del malware.

Indicadores de Compromiso (ejemplos generales):

  • URL maliciosa asociada: www.ejemplo.com/firstkiss
  • Persistencia histórica: Presencia documentada en informes de seguridad a lo largo de múltiples años.
  • Adaptación a actualizaciones: Capacidad demostrada para sortear nuevas medidas de seguridad y técnicas de detección.

Es esencial recordar que los indicadores de compromiso proporcionados son ejemplos generales, y la identificación precisa de FirstKiss requeriría un análisis más detallado basado en las circunstancias específicas del incidente.

FakeGA:

Características: FakeGA es una familia de JS-sniffers que se distingue por su habilidad para disfrazarse astutamente como una herramienta legítima de análisis, específicamente simulando ser una extensión de Google Analytics. Esta característica le permite camuflarse eficazmente en sitios web, pasando desapercibido a simple vista.

Tácticas: La táctica principal de FakeGA radica en su capacidad para mimetizarse con herramientas reconocidas y legítimas, en este caso, Google Analytics. Al hacerlo, logra eludir la detección al aparecer como parte del tráfico y las operaciones normales del sitio web. Este enfoque astuto le permite extraer datos de tarjetas de crédito de manera encubierta, ya que su presencia pasa desapercibida, evitando levantar sospechas tanto de usuarios como de sistemas de seguridad.

Indicadores de Compromiso (ejemplos generales):

  • Nombre de archivo disfrazado: ga_analytics_tool.js
  • Comportamiento no detectable: El JS-sniffer opera de manera discreta, sin afectar significativamente el rendimiento del sitio web.
  • Uso de certificados SSL: Comunicación cifrada para ocultar transmisiones de datos maliciosos.

Es fundamental tener en cuenta que los indicadores de compromiso proporcionados son ejemplos generales, y la identificación precisa de FakeGA requeriría un análisis más detallado basado en las circunstancias específicas del incidente.

AngryBeaver:

Características: AngryBeaver es una familia de JS-sniffers reconocida por su agresividad al infiltrarse en sitios web con el propósito de extraer datos de tarjetas de crédito de manera rápida y eficiente. Su enfoque se destaca por la velocidad con la que realiza sus operaciones maliciosas.

Tácticas: La táctica principal de AngryBeaver reside en su capacidad para operar a una velocidad notable y eludir eficientemente las medidas de seguridad implementadas en los sitios web objetivo. Este JS-sniffer representa una amenaza persistente, ya que su velocidad le permite realizar sus actividades maliciosas de forma rápida y discreta. La capacidad de evadir eficazmente las defensas digitales contribuye a su persistencia y lo convierte en una amenaza significativa para la seguridad en línea.

Indicadores de Compromiso (ejemplos generales):

  • URL de infiltración: www.ejemplo.com/angrybeaver
  • Patrón de actividad rápida: Incremento repentino en las solicitudes HTTP POST durante transacciones en línea.
  • Modificaciones en el tráfico web: Cambios notables en el tráfico de red, indicativos de la actividad de AngryBeaver.

Es importante señalar que los indicadores de compromiso proporcionados son ejemplos generales, y la identificación precisa de AngryBeaver requeriría un análisis más detallado basado en las circunstancias específicas del incidente.

Inter:

Skimming Digital
Skimming Digital

Características: Inter es una familia de JS-sniffers que se destaca por su enfoque interconectado, demostrando la capacidad de vincular múltiples elementos maliciosos para llevar a cabo ataques coordinados. Esta característica lo diferencia al mostrar una mayor complejidad en sus operaciones.

Tácticas: La táctica principal de Inter se basa en una estrategia integral que abarca diversas técnicas de evasión y recopilación de datos. Su complejidad radica en la interconexión de elementos maliciosos, lo que le permite coordinar ataques de manera más efectiva. Utiliza tácticas avanzadas de evasión para eludir medidas de seguridad y recopila datos de tarjetas de crédito de manera sofisticada. La capacidad de operar con un enfoque interconectado le otorga una mayor versatilidad y adaptabilidad en entornos variados.

Indicadores de Compromiso (ejemplos generales):

  • Estructuras de archivos interconectadas: Vínculos entre diferentes archivos maliciosos, como script.js e inter_data_collector.js.
  • Comunicación cifrada: Uso de protocolos de cifrado avanzados para ocultar la transmisión de datos maliciosos.
  • Patrones de coordinación: Actividad simultánea de múltiples componentes maliciosos durante un ataque, indicando la coordinación de Inter.

Es fundamental tener en cuenta que los indicadores de compromiso proporcionados son ejemplos generales, y la identificación precisa de Inter requeriría un análisis más detallado basado en las circunstancias específicas del incidente.

R3nin:

Características: R3nin es una familia de JS-sniffers reconocida por su capacidad para infiltrarse en sitios web y por su habilidad para modificar dinámicamente su comportamiento. Esta característica le permite eludir la detección y adaptarse de manera efectiva a las medidas de seguridad implementadas en los sitios web objetivo.

Tácticas: La táctica distintiva de R3nin radica en su versatilidad única al ajustar dinámicamente sus tácticas según las defensas específicas del sitio web. Esta capacidad le otorga una flexibilidad significativa, dificultando la identificación y detección por parte de los sistemas de seguridad. Al modificar su comportamiento de manera dinámica, R3nin se adapta continuamente a las actualizaciones de seguridad y a las técnicas de detección, lo que lo convierte en un desafío para las medidas de protección convencionales.

Indicadores de Compromiso (ejemplos generales):

  • Nombres de archivo cambiantes: Uso de nombres de archivos variables, como r3nin_loader_v1.js, para evitar patrones de detección estáticos.
  • Comunicación camuflada: Uso de técnicas de camuflaje en la transmisión de datos maliciosos para evadir la detección.
  • Análisis dinámico de sitios web: R3nin ajusta su comportamiento según la estructura y las defensas específicas del sitio, dificultando su identificación.

Es esencial tener en cuenta que los indicadores de compromiso proporcionados son ejemplos generales, y la identificación precisa de R3nin requeriría un análisis más detallado basado en las circunstancias específicas del incidente.

Estas descripciones proporcionan una visión detallada de algunas de las familias de JS-sniffers identificadas por Group-IB durante la operación, resaltando la diversidad de enfoques utilizados por estos ciberdelincuentes para llevar a cabo ataques de digital skimming.

Estas variantes fueron utilizadas en ataques dirigidos contra empresas en los 17 países participantes en la Acción de Skimming Digital.

La capacidad de detectar y clasificar estas amenazas específicas refleja la experiencia y la sofisticación de Group-IB en la identificación de patrones de ciberataques emergentes.

Hasta finales de 2023, según los informes de Group-IB, se ha identificado un total de 132 familias de JS-sniffers que han comprometido sitios web en diversas partes del mundo.

Esta revelación destaca la amplitud global de la amenaza asociada al digital skimming, subrayando la diversidad de tácticas utilizadas por estos ciberdelincuentes.

La cifra de 132 familias de JS-sniffers refleja la complejidad y la expansión constante de esta amenaza, lo que destaca la necesidad continua de vigilancia y medidas de seguridad proactivas para contrarrestar eficazmente estos ataques en la esfera digital.

Adicionalmente, los expertos de Group-IB con base en Ámsterdam, pertenecientes a la unidad de Inteligencia de Amenazas y al Departamento de Investigación de Delitos de Alta Tecnología, desempeñaron un papel crucial durante la operación.

Proporcionaron capacitación en el lugar para las autoridades policiales nacionales europeas participantes.

Durante esta formación, se abordó en detalle el impacto del fenómeno de digital skimming, se impartieron conocimientos clave sobre la arquitectura general de la infraestructura de JS-sniffer y se enseñaron técnicas efectivas de caza de amenazas.

Este compromiso demuestra el esfuerzo proactivo de Group-IB en fortalecer las capacidades de las fuerzas del orden en la lucha contra el cibercrimen.

Entre el segundo semestre de 2021 y el primer semestre de 2022, la Inteligencia de Amenazas de Group-IB reveló un alarmante aumento de cuatro veces en el compromiso de tarjetas de crédito o pago a nivel mundial mediante el uso de JS-sniffers.

Más de 320,000 tarjetas fueron afectadas durante este período, ilustrando la creciente sofisticación y magnitud de los ataques de digital skimming.

Es importante señalar que este número podría ser solo la punta del iceberg, ya que se sospecha que la cantidad total de tarjetas de crédito comprometidas por JS-sniffers podría ser considerablemente mayor.

Este hallazgo destaca la urgencia de medidas preventivas y la importancia de una mayor conciencia sobre la amenaza que representan los ataques de digital skimming en el panorama de la seguridad digital.

El skimming digital, que ha experimentado un notable crecimiento en escala, impacto y sofisticación en los últimos años, involucra la práctica ilícita de obtener detalles de tarjetas de crédito o pagos de clientes que realizan compras en línea desde sitios web infectados con JS-sniffers.

Este fenómeno representa una amenaza significativa en el panorama de la seguridad digital, ya que los ciberdelincuentes utilizan tácticas cada vez más avanzadas para comprometer la información financiera de los usuarios de manera encubierta.

El aumento en la sofisticación del skimming digital subraya la necesidad urgente de medidas preventivas y de seguridad robustas para salvaguardar la integridad de las transacciones en línea y proteger la privacidad financiera de los usuarios.

Por lo general, los clientes no son conscientes del compromiso hasta que los criminales aprovechan sus detalles robados para llevar a cabo transacciones no autorizadas.

En este contexto, la solución de Protección contra Fraudes de Group-IB emerge como líder en la industria, ofreciendo una defensa robusta.

Diseñada para ayudar a los bancos, la solución no solo aborda los ataques de digital skimming, sino que también protege contra diversos tipos de fraudes digitales, incluyendo transacciones no autorizadas.

La destacada eficacia de esta solución destaca la importancia de contar con medidas proactivas para salvaguardar la integridad de las transacciones digitales y proteger la información financiera de los usuarios.

Declaración de Camill Cebulla, Director de Ventas de Europa de Group-IB:

El éxito alcanzado en la Acción de Skimming Digital destaca la importancia crítica de esfuerzos coordinados y transfronterizos para abordar eficazmente el cibercrimen.

Este logro resalta la necesidad de una colaboración estrecha entre diversas entidades, tanto públicas como privadas, en la lucha contra las amenazas digitales.

La cooperación internacional se revela como un componente esencial para fortalecer las defensas cibernéticas y proteger la seguridad en línea de manera más efectiva.

Este enfoque conjunto refleja la determinación de combatir el cibercrimen de manera integral y proporciona un ejemplo clave de cómo la unión de esfuerzos puede ser fundamental en la defensa contra las amenazas digitales en la era moderna.

El papel desempeñado por Group-IB al proporcionar datos clave de Inteligencia de Amenazas y ofrecer capacitación in situ refleja nuestro compromiso inquebrantable con el fortalecimiento de las defensas digitales tanto de los comerciantes como de los clientes.

Trabajando en estrecha colaboración con Europol, ENISA, las agencias policiales y los colaboradores del sector privado, estamos unidos en nuestra misión de erradicar los ataques de digital skimming y, por ende, todas las formas de cibercrimen.

Este esfuerzo conjunto busca asegurar un entorno en línea más seguro y protegido para todos los usuarios.

Declaración de Dmitry Volkov, CEO de Group-IB:

Group-IB se enorgullece de haber sido socio del sector privado de Europol desde 2015, y la Acción de Skimming Digital es un testimonio más del papel líder que Europol desempeña en la lucha contra el delito digital, así como de la sólida cooperación establecida con el sector privado.

La misión fundamental de Group-IB es combatir el cibercrimen, y nuestro Centro de Resistencia al Crimen Digital en Ámsterdam seguirá desempeñando un papel clave.

Continuaremos suministrando inteligencia específica y colaborando estrechamente con agencias policiales internacionales y nacionales.

Nuestro objetivo es proteger a los ciudadanos europeos y a las organizaciones financieras de las garras del cibercrimen, contribuyendo así a la construcción de un entorno digital más seguro y resiliente.

La Acción de Skimming Digital representa la más reciente operación anti delitos cibernéticos liderada por Europol en la cual Group-IB ha desempeñado un papel significativo.

Esta contribución se suma a los éxitos anteriores en operaciones como la Acción de Carding 2021 y la Acción de Carding 2020, ambas encabezadas por el Centro Europeo de Cibercrimen de Europol (EC3) y respaldadas por agencias policiales nacionales de los Estados miembros de la Unión Europea y del Reino Unido.

Ambas operaciones exitosas lograron prevenir pérdidas que superaron los €50 millones. La participación activa de Group-IB en estas iniciativas subraya su compromiso continuo con la lucha contra el cibercrimen y su valioso papel en la prevención de amenazas digitales a nivel europeo.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

 

Lea más de Ciberseguridad

Ciberseguridad de tu empresa: cómo mejorar en 2024

CISO: duran entre 18 y 24 meses promedio en su cargo

Chameleon: La Amenaza Bancaria que Desafía en 2024

Google Chrome: alerta mundial CVE-2023-7024

GambleForce: 2023 cierra con nuevas amenazas

Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, Skimming Digital, 

Scroll al inicio