La actividad del grupo de hackers avanzados que los investigadores llaman Silence 2.0 ha aumentado significativamente durante el año pasado
Las víctimas en el sector financiero están dispersas en más de 30 países y las pérdidas financieras se han quintuplicado.
El grupo comenzó tímidamente en 2016, aprendiendo las cuerdas siguiendo los golpes de otros hackers. Desde entonces, logró robar al menos $ 4.2 millones, inicialmente de bancos en la antigua Unión Soviética, luego de víctimas en Europa, América Latina, África y Asia.
Investigadores de Group-IB, compañía de ciberseguridad con sede en Singapur especializada en prevención de ataques, rastrearon Silence desde el principio y consideraron que sus miembros estaban familiarizados con la actividad de seguridad de sombrero blanco.
Un informe del año pasado detalla los roles de los piratas informáticos de Silence, sus habilidades, fracasos y éxitos en el robo de bancos. Para septiembre de 2018, el grupo había robado más de $ 800,000 de cajeros automáticos.
En un nuevo informe del Group-IB comparte más detalles sobre las tácticas, técnicas y procedimientos de los piratas informáticos, para ayudar a otros investigadores a detectar ataques en una etapa temprana y atribuirlos correctamente.
Nuevas herramientas y tácticas.
Los investigadores dicen que Silence ha mejorado su seguridad operativa y ha cambiado su conjunto de herramientas para frustrar la detección. Además de reescribir el módulo de la primera etapa (Silence.Downloader / Truebot), el grupo comenzó a usar un cargador sin archivos basado en PowerShell llamado Ivoke.
Para el movimiento lateral en la red de víctimas, se utiliza un nuevo agente PowerShell, llamado EmpireDNSAgent (EDA) porque se basa en el marco Empire abandonado y el proyecto dnscat2.
En octubre de 2018, Silence comenzó a enviar correos electrónicos de reconocimiento que ayudarían a preparar mejor un ataque. Tal mensaje no llevaría carga útil y fingió ser una respuesta automática para una entrega fallida.
El objetivo es recibir una lista actualizada de direcciones de correo electrónico activas del objetivo. Silence envió más de 170,000 de estos correos electrónicos durante tres campañas separadas contra víctimas en Asia, Europa y países postsoviéticos, dice Group-IB.
Víctimas en casi todos los continentes.
Al expandirse a Asia, los piratas informáticos entregaron alrededor de 80,000 mensajes de 'entrega fallida' a objetivos en 12 países. Como se ve en la imagen a continuación, la mayoría de los objetivos están en Taiwán, Malasia y Corea del Sur.
La campaña de reconocimiento de las instituciones financieras en Europa fue la más pequeña, con menos de 10,000 correos electrónicos entregados. El foco estaba en las compañías financieras británicas.
Después de validar las direcciones de correo electrónico, el actor de la amenaza pasa a las siguientes etapas del ataque y comienza a enviar mensajes con una carga útil que descarga malware específico de Silence.
La persistencia y el movimiento lateral siguen, utilizando herramientas de desarrollo propio o binarios ya disponibles en el sistema de destino.
En la etapa final, el atacante llega a las máquinas de procesamiento de tarjetas y puede controlar los cajeros automáticos utilizando su troyano Atmosphere o un programa llamado xfs-disp.exe para dispensar efectivo a mulas de dinero en momentos específicos.
Silence duro en el trabajo
El último informe del Grupo IB sobre la actividad de Silence abarca el período comprendido entre el 28 de mayo de 2018 y el 1 de agosto de 2019. Los investigadores rastrean los ataques, el reconocimiento y las campañas de phishing principalmente contra bancos en Rusia.
Los hackers aprovecharon todos los recursos y posibilidades. Como tal, aprovecharon la falta del Marco de Política del Remitente (configuración) para hacerse pasar por un banco real y enviaron correos electrónicos que pretendían ser del Banco Central de la Federación Rusa.
El grupo Silence comenzó a principios de 2019 para cambiar a objetivos en Europa y atacó a una organización financiera en el Reino Unido. Enviaron un archivo con una firma válida de SEVA Medical LTD.
Sin embargo, no cambiaron el enfoque de los bancos rusos. En febrero, el actor de la amenaza había comprometido a Omsk IT Bank y pudo robar alrededor de $ 400,000, según informes públicos de la época.
A finales de mayo, los medios de comunicación en Bangladesh informaron que varios hombres con máscaras retiraron al menos $ 3 millones de cajeros automáticos pertenecientes al Dutch Bangla Bank.
Estas fueron mulas de dinero y fueron grabadas por el sistema de CCTV. Las imágenes de la cámara de seguridad muestran cómo insertan una tarjeta en el cajero automático y solo esperan a que salga el dinero.
Los investigadores creen que el troyano Atmosphere o xfs-disp.exe se usaron para controlar los cajeros automáticos durante este ataque porque no se encontró malware en los cajeros automáticos.
Otros ataques exitosos que el Grupo IB atribuyó al Silence ocurrieron en bancos de Chile, Bulgaria, Costa Rica, Ghana e India.
Silence se basa en herramientas poderosas que no utilizan otros grupos y continúa adaptando su juego para estar por delante de las soluciones de seguridad y los investigadores.
Fecha actualización el 2021-08-21. Fecha publicación el 2019-08-21. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil