GROUP-IB DESCUBRE APT BANCARIA: “THE SOUND OF SILENCE”
9 de septiembre del 2018 | por Top Management
Group-IB, compañía internacional especializada en la prevención de ciberataques, expuso los ataques cometidos por el grupo cibercriminal Silence. Mientras que este grupo cibercriminal había apuntado previamente a los bancos rusos, los expertos del Group IB también han descubierto evidencia de la actividad del grupo en más de 25 países en todo el mundo. Group-IB ha publicado su primer informe detallado “Silence: Moving into the darkside” sobre las tácticas y herramientas empleadas por los ciberdelincuentes. La hipótesis de los analistas de seguridad del Group IB es que al menos uno de los miembros de la pandilla parece ser un empleado anterior o actual de una compañía de ciberseguridad. El daño confirmado de la actividad de grupo Silence se estima en U$S 800.000.
Después de que la actividad del grupo Cobalt ha disminuido, Silence se convirtió en una de las principales amenazas para los bancos rusos e internacionales. Una vez que solo conocen los especialistas en ciberseguridad, Silence es un ejemplo de un grupo móvil, pequeño y joven que ha estado progresando rápidamente. Los robos confirmados por Silence aumentaron más de cinco veces, de solo 100,000 dólares en 2017 a 550 000 dólares en menos de un año. Los robos totales confirmados actuales de los ataques de Silence ascienden a 800,000 dólares.
Durante más de dos años, no hubo ni una sola señal de Silence que permitiera identificarlos como un grupo de delito cibernético independiente. La cronología y la naturaleza de los ataques identificados por los especialistas forenses del Group IB sugirieron enérgicamente que los primeros ataques fueron de naturaleza muy amateur y que los delincuentes aprendían a medida que avanzaban. Desde el otoño de 2017, el grupo se ha vuelto más activo. Según el análisis y la comparación con otros incidentes y cronogramas APT financieros, está claro que Silence analiza métodos de otros grupos delictivos y aplica nuevas tácticas y herramientas en varios sistemas bancarios: AWS CBR (Cliente de la estación de trabajo automatizada del Banco Central de Rusia), cajeros automáticos y procesamiento de tarjetas.
Los equipos de inteligencia y respuesta a incidentes del Group IB detectaron la actividad de Silence en 2016 por primera vez. Los miembros de Silence intentaron retirar dinero a través de AWS CBR; sin embargo, debido a algunos errores en las órdenes de pago, el robo fue prevenido con éxito. En 2017, Silence comenzó a realizar ataques contra los cajeros automáticos. El primer incidente confirmado por Group-IB reveló que los miembros de la banda cibercriminal robaron 100,000 DÓLARES de los cajeros automáticos en solo una noche. En 2018, se enfocaron en el procesamiento de tarjetas usando el ataque de la cadena de suministro, recogiendo 550,000 DÓLARES en cajeros automáticos de la contraparte del banco durante un fin de semana. En abril de 2018, dos meses después de que se enfocaron con éxito en el procesamiento de tarjetas, el grupo decidió apalancar su esquema anterior y robó aproximadamente 150.000 DÓLARES a través de cajeros automáticos. En este punto, los ataques descritos anteriormente pueden atribuirse inequívocamente a Silence, pero los expertos en seguridad de Group-IB creen que ha habido otros ataques exitosos en los bancos.
¿Quiénes son el grupo Silence?
Los expertos de Group-IB concluyeron que Silence es un grupo de hackers de habla rusa, basado en el lenguaje de comandos, la ubicación de la infraestructura que utilizan y la geografía de sus objetivos (Rusia, Ucrania, Bielorrusia, Azerbaiyán, Polonia y Kazajstán). Aunque los correos electrónicos de phishing también se enviaron a empleados del banco en Europa Central y Occidental, África y Asia). Además, Silence usó palabras rusas escritas en un diseño de teclado en inglés para los comandos de la puerta trasera empleada. Los hackers también utilizaron servicios de alojamiento web en ruso.
Parece que solo hay dos miembros en Silence: un desarrollador y un operador. Esto explica por qué son tan selectivos en sus objetivos de ataque, y por qué les lleva tanto tiempo (hasta 3 meses, que es al menos tres veces más de lo que demoraron Anunak, Buhtrap, MoneyTaker y Cobalt) cometer un robo. Un miembro de la baanda, es un desarrollador, tiene las habilidades de un ingeniero con mucha experiencia. Desarrolla herramientas para realizar ataques y modifica exploits y softwares complejos. Sin embargo, en desarrollo, comete una serie de errores, que son bastante comunes para analistas de virus o expertos en ingeniería inversa; él sabe exactamente cómo desarrollar software, pero no sabe cómo (re)programarlo correctamente. El segundo miembro del equipo es un operador. Tiene experiencia en pruebas de penetración, lo que significa que puede encontrar fácilmente su camino en la infraestructura bancaria. Él es quien usa las herramientas desarrolladas para acceder a los sistemas bancarios e inicia el proceso de robo.
Herramientas y métodos de Silence
Al igual que la mayoría de los grupos de delitos informáticos, Silence usa correos electrónicos de phishing. Inicialmente, el grupo usó servidores pirateados y cuentas comprometidas para sus campañas. Más tarde, los delincuentes comenzaron a registrar dominios de phishing, para lo cual crearon certificados autofirmados. Silence diseña correos electrónicos de phishing muy bien diseñados, que generalmente aparentan ser de empleados del banco. Para llevar a cabo sus campañas de phishing, los hackers alquilan servidores en Rusia y los Países Bajos. Silence también usa un hosting con sede en Ucrania y contrataron servicios de alojamiento para alquilar servidores para usarlos para C & C. Se alquilaron varios servidores en MaxiDed, cuya infraestructura fue bloqueada por Europol en mayo de 2018.
En sus primeras operaciones, Silence usó una puerta trasera prestada – Kikothac, que deja en claro que el grupo comenzó su actividad sin ninguna preparación: estos fueron intentos de prueba las aguas. Más tarde, el desarrollador del grupo creó un conjunto único de herramientas para ataques al procesamiento de tarjetas y cajeros automáticos, incluido Silence, un marco para ataques de infraestructura, Atmosphere, un conjunto de herramientas de software para ataques a cajeros automáticos, Farse, una herramienta para obtener contraseñas de una computadora comprometida. y Cleaner: una herramienta para la eliminación de registros.
“Silence, en muchos sentidos, está cambiando la percepción del delito cibernético en términos de la naturaleza de los ataques, las herramientas, las tácticas e incluso los miembros del grupo. Es obvio que los criminales responsables de estos crímenes fueron en algún momento miembros activos en la comunidad de seguridad. Ya sea como testers de penetración o especialistas en ingeniería inversa”, dice Dmitry Volkov, director de tecnología y jefe de inteligencia de amenazas en Group-IB. “Estudian cuidadosamente los ataques realizados por otros grupos de ciberdelincuentes y analizan los informes de antivirus y de inteligencia de amenazas. Sin embargo, no los salva de cometer errores; aprenden sobre la marcha. Muchas de las herramientas de Silence son legítimas, otras se desarrollaron y aprendieron de otros grupos cibercriminales. Después de haber estudiado los ataques de Silence, concluimos que lo más probable es que fueron sombreros blancos que evolucionaron hacia sombreros negros.