Las operaciones de un grupo de ataque dirigido de habla rusa denominado MoneyTaker fue puesto al descubierto por Group-IB, el proveedor de inteligencia sobre amenazas de alto impacto y soluciones anti fraudes, en un informe que detalla.
En menos de dos años, este grupo ha llevado a cabo más de 20 ataques exitosos contra instituciones financieras y empresas legales en los Estados Unidos, el Reino Unido y Rusia.
El grupo se ha enfocado principalmente en sistemas de procesamiento de tarjetas, incluido AWS CBR (Russian Interbank System) y supuestamente SWIFT (EE. UU.).
Dado el amplio uso de STAR en LATAM, las instituciones financieras en LATAM podrían estar particularmente expuestas a un posible interés del grupo MoneyTaker.
A pesar de que el grupo ha tenido éxito al apuntar a una serie de bancos en diferentes países, hasta la fecha no han sido denunciados.
Además de los bancos, el grupo MoneyTaker ha atacado a las firmas de abogados y también a los proveedores de software financiero.
20 ataques confirmados
En total, Group-IB ha confirmado que 20 compañías son víctimas de MoneyTaker, con 16 ataques contra organizaciones estadounidenses, 3 ataques contra bancos rusos y 1 en el Reino Unido.
Al cambiar constantemente sus herramientas y tácticas para eludir los antivirus y las soluciones de seguridad tradicionales y, lo que es más importante, eliminar cuidadosamente sus rastros después de completar sus operaciones, el grupo ha pasado desapercibido.
“MoneyTaker utiliza herramientas disponibles públicamente, lo que hace que el proceso de atribución e investigación sea un ejercicio no trivial”, dice Dmitry Volkov, cofundador del Grupo IB y jefe de inteligencia de la compañía.
“Además, los incidentes ocurren en diferentes regiones del mundo y al menos uno de los bancos de los EE. UU. Tenía documentos exfiltrados con éxito de sus redes, en dos ocasiones.
Los especialistas de Group-IB esperan nuevos robos en el futuro cercano y para reducir este riesgo, Group-IB desea contribuir con un informe identificando las herramientas de hackers, las técnicas y los indicadores de compromiso que atribuimos a las operaciones de MoneyTaker “.
Ataques de MoneyTaker: pasado, presente y futuro
El primer ataque en los Estados Unidos que Group-IB atribuye a este grupo se llevó a cabo en la primavera de 2016: el dinero fue robado del banco al obtener acceso al portal de operador de red “STAR” de First Data.
Desde entonces, el grupo atacó compañías en California, Utah, Oklahoma, Colorado, Illinois, Misuri, Carolina del Sur, Carolina del Norte, Virginia y Florida.
En 2016, Group-IB identificó 10 ataques efectuados por MoneyTaker; 6 ataques contra bancos en los EE. UU., 1 ataque contra un proveedor de servicios de EE. UU., 1 ataque contra un banco en el Reino Unido y 2 ataques contra bancos rusos. Solo un incidente que involucró a un banco ruso fue identificado y prevenido rápidamente por Group-IB.
En 2017, la cantidad de ataques se mantuvo igual con 8 bancos estadounidenses, 1 estudio de abogados y 1 banco en Rusia. La geografía, sin embargo, se ha reducido a solo EE. UU. Y Rusia, por ahora.
Group-IB Threat Intelligence
Utilizando el sistema Group-IB Threat Intelligence, los investigadores del Group-IBdescubrieron conexiones entre los 20 incidentes durante 2016 y 2017.
Las conexiones se identificaron no solo en las herramientas utilizadas, sino también en la infraestructura distribuida, componentes de uso único, como el toolkit utilizado en el ataque por el grupo y esquemas de retiro específicos – usando cuentas únicas para cada transacción.
Otra característica distintiva de este grupo es que se quedan después del evento, siguen espiando a una serie de bancos afectados y envían correos electrónicos corporativos y otros documentos a los servicios de correo electrónico gratuitos de Yandex y Mail.ru en el formato first.last@yandex.com .
Hallazgos importantes que permitieron a Group-IB descubrir los vínculos entre crímenes incluyen herramientas de escalada de privilegios compiladas en base a códigos presentados en la conferencia rusa de seguridad cibernética ZeroNights 2016.
Además, en algunos incidentes, los piratas informáticos utilizaron los troyanos bancarios Citadel y Kronos. Este último se utilizó para entregar malware de punto de venta (POS) denominado ScanPOS.
Infraestructura de Ataque
Al analizar la infraestructura de ataque, Group-IB identificó que el grupo exfiltra continuamente la documentación bancaria interna para aprender sobre las operaciones bancarias en preparación para futuros ataques.
Los documentos exfiltrados incluyen: guías de administración, regulaciones e instrucciones internas, formularios de solicitud de cambios, registros de transacciones, etc.
Group-IB está investigando una serie de incidentes con documentos copiados que describen cómo realizar transferencias a través de SWIFT.
MoneyTaker: Un arsenal de ataques para Latam
El contenido y geografía indican que los bancos en América Latina pueden ser el próximo objetivo de MoneyTaker.
Group-IB ha proporcionado a Europol e Interpol información detallada sobre el grupo MoneyTaker para futuras actividades de investigación como parte de nuestra labor constante en la lucha contra el cibercrimen.
Group-IB informa que MoneyTaker usa tanto sus herramientas de terceros como las propias. Por ejemplo, para espiar a los operadores bancarios, desarrollaron una aplicación con capacidades de “captura de pantalla” y “capturador de pulsaciones”.
Este programa está diseñado para capturar las pulsaciones de teclas, tomar capturas de pantalla del escritorio del usuario y obtener contenidos del portapapeles.
Sin dejar rastro
Para realizar ataques dirigidos, MoneyTaker utiliza una infraestructura distribuida que es muy difícil de rastrear.
Una característica única de la infraestructura es un servidor de persistencia, que entrega cargas útiles solo a las víctimas con una dirección IP en la lista blanca de MoneyTaker.
Para controlar la operación completa, MoneyTaker utiliza un servidor de marco de Pentest.
Metasploit
Después de infectar con éxito una de las computadoras y obtener acceso inicial al sistema, los atacantes realizan un reconocimiento de la red local para obtener privilegios de administrador de dominio y, finalmente, consolidar el control de la red.
Los hackers usan Metasploit para realizar todas estas actividades: reconocimiento de redes, búsqueda de aplicaciones vulnerables, vulnerabilidades de vulnerabilidades, escalar privilegios de sistemas y recopilar información.
Malware “sin archivos”
El grupo usa malware “sin archivos” que solo existe en la memoria RAM y se destruye después del reinicio.
Para garantizar la persistencia en el sistema, MoneyTaker se basa en las secuencias de comandos de PowerShell y VBS; son difíciles de detectar por el antivirus y fáciles de modificar. En algunos casos, han realizado cambios en el código fuente ‘sobre la marcha’ – durante el ataque, lo cual es una clara muestra del amplio dominio de ingeniería que el equipo cibercriminal dispone.
Después de una infección exitosa, borran cuidadosamente los rastros de malware. Sin embargo, cuando investigamos un incidente en Rusia, logramos descubrir el punto inicial de compromiso: los hackers penetraron en la red interna del banco al obtener acceso a la computadora del administrador del sistema del banco.
Además, para evitar que las comunicaciones de C & C sean detectadas por los equipos de seguridad, MoneyTaker emplea certificados SSL generados con nombres de conocidas marcas: Bank of America, Federal Reserve Bank, Microsoft, Yahoo, etc.), en lugar de llenar los campos al azar.
En los Estados Unidos, utilizaron la solución LogMeIn Hamachi para acceso remoto. Y nadie se percato.
Fuente: http://www.corporateit.cl