Silence APT , un grupo de cibercriminales de habla rusa, conocido por atacar organizaciones financieras, principalmente en los antiguos estados soviéticos y países vecinos, está ahora atacando agresivamente a bancos en más de 30 países de América, Europa, África y Asia.
Activo desde al menos 2016, este grupo ha ido modificando su forma de operar hasta que, a día de hoy, se le considera uno de los grupos de amenazas persistentes (APT) más sofisticados del mundo. Silence APT ha actualizado su TTP único (tácticas, técnicas y procedimientos) convirtiéndose en una amenaza a nivel global.
«Además, el grupo ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque. Los ciberdelincuentes también comenzaron a usar Ivoke, un cargador sin archivos y un agente EDA, ambos escritos en PowerShell».
Investigador del Grupo IB
EDA es un agente de PowerShell diseñado para controlar sistemas comprometidos mediante la realización de tareas a través de línea de comandos y el tráfico mediante el protocolo DNS. Está basado en los proyectos Empire y dnscat2.
Al igual que la mayoría de los grupos de cibercriminales, Silence también utiliza correos electrónicos de phishing con Docs adjuntos los cuales contienen exploits en sus macros.
Para elegir sus objetivos, el grupo crea primero una «lista de posibles objetivos» unida a una lista actualizada de correos de sus trabajadores, la cual consiguen mediante «correos electrónicos de reconocimiento».
«Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa.»
Informe público de los investigadores
Los investigadores del Grupo IB no compartieron los nombres de los bancos a los que apuntó Silence APT, pero dijeron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el «Banco de TI» ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).
Se recomienda a todas las organizaciones financieras reforzar sus protocolos de seguridad para no ser víctima de estos ataques.
Más información:
Informe del grupo IB: https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf
¿Para cuándo el titular «Un grupo de cibercriminales estadounidenses tienen como objetivos a bancos de todo el mundo»?
Quizá es que no hay grupos de cibercriminales en Estados Unidos. O que no hay intención de destacar/reseñar la nacionalidad en ese caso.
Sopalajo de Arriérez eso nunca pasará, porque los yankis son el bien porque se creen la policía del mundo y la NSA son unos santitos que no espían ni generan herramientas para hacer el mal. Que lo hacen por nuestra seguridad.
Pero si, a mi también me gustaría ver más noticias del verdadero eje del mal como es USA y no los que ellos señalan como eje del mal.