Un grupo de cibercriminales rusos tiene como objetivos a bancos de todo el mundo

Silence APT , un grupo de cibercriminales de habla rusa, conocido por atacar organizaciones financieras, principalmente en los antiguos estados soviéticos y países vecinos, está ahora atacando agresivamente a bancos en más de 30 países de América, Europa, África y Asia.

Activo desde al menos 2016, este grupo ha ido modificando su forma de operar hasta que, a día de hoy, se le considera uno de los grupos de amenazas persistentes (APT) más sofisticados del mundo. Silence APT ha actualizado su TTP único (tácticas, técnicas y procedimientos) convirtiéndose en una amenaza a nivel global.

«Además, el grupo ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque. Los ciberdelincuentes también comenzaron a usar Ivoke, un cargador sin archivos y un agente EDA, ambos escritos en PowerShell».

Investigador del Grupo IB

EDA es un agente de PowerShell diseñado para controlar sistemas comprometidos mediante la realización de tareas a través de línea de comandos y el tráfico mediante el protocolo DNS. Está basado en los proyectos Empire y dnscat2.

Al igual que la mayoría de los grupos de cibercriminales, Silence también utiliza correos electrónicos de phishing con Docs adjuntos los cuales contienen exploits en sus macros.

Para elegir sus objetivos, el grupo crea primero una «lista de posibles objetivos» unida a una lista actualizada de correos de sus trabajadores, la cual consiguen mediante «correos electrónicos de reconocimiento».

«Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa.»

Informe público de los investigadores

Los investigadores del Grupo IB no compartieron los nombres de los bancos a los que apuntó Silence APT, pero dijeron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el «Banco de TI» ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).

Se recomienda a todas las organizaciones financieras reforzar sus protocolos de seguridad para no ser víctima de estos ataques.

Más información:
Informe del grupo IB: https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf