MoneyTaker: surge como un actor malicioso sofisticado

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Los miembros de MoneyTaker utilizaron la información recabada con ingeniería inversa para diseñar correos electrónicos y documentos que pretendían ser del Banco Central Ruso para llevar a cabo ataques dirigidos a los bancos.

Una campaña de spear-phishing creada para que pareciera que fue llevada a cabo por el Banco Central es un vector de ataque relativamente extendido entre los delincuentes cibernéticos; ha sido utilizado por grupos como Buhtrap, Anunak, Cobalt y Lurk, con amplia difusión en Europa, Estados Unidos y América Latina.

En marzo de 2016, por ejemplo, los ciberdelincuentes enviaron correos electrónicos de phishing desde info@fincert.net.

En cuanto a las notificaciones genuinas del Banco Central de Rusia, en el pasado los hackers de Lurk y Buhtrap los utilizaron para enviar malware a los empleados del banco.

“Desde julio, para compartir información, FinCERT ha estado utilizando un sistema automatizado de procesamiento de incidentes que hace posible compartir de forma segura y rápida información sobre incidentes y operaciones no autorizadas basadas en la base de datos” Feed-Antifraud, comentó el servicio de prensa del Banco Central.

“El canal de respaldo para compartir información es el correo electrónico. Todos los mensajes enviados por correo electrónico contienen la firma electrónica de FinCERT “.

La información y los indicadores de ataque (IoAs) del 23 de octubre y 15 de noviembre se conocieron en medios de Inteligencia cibercriminal, para que las entidades Europeas y Latinoamericanas, puedan evitar ser afectadas por este grupo sofisticado de cibercriminales.

Acerca de MoneyTaker

Es un grupo de hackers que se cree que es responsable de 16 ataques en los Estados Unidos, 5 ataques en los bancos rusos, y 1 en el Reino Unido.

Además del dinero, los delincuentes roban la documentación sobre los sistemas de pago interbancarios que es necesaria para preparar futuros ataques.

El grupo también realiza ataques a través de intermediarios al vulnerar a socios de bancos, compañías de TI y proveedores de productos financieros.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris