Silence Group encabeza un nuevo ataque

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

En la mañana del 15 de noviembre, se detectó una campaña de correo electrónico masivo malicioso enviado a los bancos rusos desde una dirección de correo electrónico falsa que aparentaba pertenecer al Banco Central de Rusia (CBR).

Por supuesto, la CBR no tiene nada que ver con la campaña de phishing: los cibercriminales falsificaron la dirección del remitente.

Los certificados SSL no se utilizaron para la verificación DKIM

Los correos electrónicos con el asunto “Información del Banco Central de la Federación Rusa” pidieron a los destinatarios que revisaran la decisión del regulador “Sobre la estandarización del formato de las comunicaciones electrónicas de CBR” y que implementen los cambios de inmediato.

Los documentos en cuestión estaban supuestamente contenidos en los archivos adjuntos comprimidos, sin embargo, al descomprimir estos archivos, los usuarios descargaron Silence.Downloader, la herramienta utilizada por los cibercriminales de Silence Group.

Los expertos que analizaron el ataque han observado que el estilo y el formato de los correos electrónicos eran casi idénticos a la correspondencia oficial del regulador.

Acceso

Los hackers probablemente tuvieron acceso a muestras de correos electrónicos legítimos.

Los miembros del grupo cibercriminal Silence supuestamente estaban o están legalmente empleados como pentesters e ingenieros de reversa.

Los piratas informáticos son fácilmente capaces de llevar a cabo ataques y retirar dinero a través de cajeros automáticos, procesamiento de tarjetas o sistemas de transferencias interbancarias (en Rusia, el Cliente Automatizado de Estación de Trabajo del Banco Central de Rusia).

Como tales, están muy familiarizados con la documentación en el sector financiero y la estructura de los sistemas bancarios.

Anatomía de Silence Group

En el transcurso de su “accionar malicioso”, Silence Group atacó los sistemas de gestión bancaria, los sistemas de procesamiento de tarjetas y el sistema ruso de transferencias interbancarias (AWS CBR).

Los objetivos de la pandilla se encuentran principalmente en Rusia, Ucrania y Bielorrusia, Azerbaiyán, Polonia y Kazajstán, aunque los correos electrónicos de suplantación de identidad (phishing) se enviaron a empleados de bancos en Europa Central y Occidental, África y Asia.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris