Grupo de cibercriminales Silence APT apunta a nuevos mercados

Silence APT, es un grupo de cibercriminales de habla rusa, conocido por atacar en un comienzo principalmente a organizaciones financieras soviéticas, en este momento ha tomado un nuevo rumbo y se encuentra presente en mas de 30 países ubicados en América, Europa, África y Asia.

El famoso grupo se encuentra activos desde al menos septiembre del año 2016, el ataque exitoso mas reciente fue contra el Dutch-Bangla Bank con sede en Bangladesh, quienes perdieron mas de 3 millones en solo unos días, esto en efectivo girado desde cajeros automáticos.

De acuerdo a un nuevo reporte de la firma Group-IB, el grupo se ha expandido geograficamente de forma considerable en los últimos meses, aumentando la cantidad de ataques.

El reporte también describe al grupo como “hackers jóvenes altamente motivados” a uno de los grupos más sofisticados que ahora representa amenazas para los bancos de todo el mundo.

El grupo esta constantemente actualizando su TTP (tactics, technics and procedures) y cambiando sus alfabetos encriptados, textos y comandos bot y el módulo principal evadan la detección mediante herramientas de seguridad.

“Además, el actor ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque del grupo. Los hackers también comenzaron a usar Ivoke y un agente EDA, ambos escritos en PowerShell”. dijeron los investigadores.

EDA es un agente de PowerShell, diseñado para controlar sistemas comprometidos mediante la realización de tareas a través del shell de comandos y el tráfico de túnel mediante el protocolo DNS, y se basa en los proyectos Empire y dnscat2.

Así como la mayoría de estos grupos, Silence también se basa en correos electrónicos de phishing con macros Docs o exploits, archivos CHM y atajos .LNK como archivos adjuntos maliciosos para comprometer a sus víctimas.

Para elegir sus objetivos, el grupo primero crea una “lista de objetivos” actualizada de direcciones de correo electrónico activas, mediante el envío de “correos electrónicos de reconocimiento”, que generalmente contienen una imagen o un enlace sin una carga maliciosa.

 “Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa “, según el informe.

“En noviembre de 2018, Silence trató de apuntar al mercado asiático por primera vez en su historia. En total, Silence envió alrededor de 80,000 correos electrónicos, con más de la mitad de ellos dirigidos a Taiwán, Malasia y Corea del Sur”.

Con los últimos ataques efectuados por Silence desde mayo del 2018 hasta el primero de agosto de este año, los investigadores describen el incremento del daño de sus operaciones, confirmaron que la cantidad de fondos robados por Silence se ha quintuplicado desde sus inicios.

Los investigadores también sospechan que los TrueBot (aka Silence.Downloader) y FlawedAmmyy, fueron desarrollados por la misma persona ya que ambos malware están firmados por el mismo certificado digital .

El FlawedAmmyy es un troyano de acceso remoto (RAT) asociado al TA505, otro grupo de habla rusa, responsable de varios ataques de larga escala, donde están involucrados varios ataques de correo electrónico altamente dirigidos, así como campañas masivas de mensajes multimillonarios desde al menos 2014.

“La creciente amenaza planteada por Silence y su rápida expansión global, nos llevaron a hacer públicos ambos informes para ayudar a los especialistas en ciberseguridad a detectar y atribuir correctamente los ataques mundiales de Silence en una etapa temprana”, dijeron los investigadores.

Group-IB no compartió los nombres de los bancos que son objetivos del mencionado grupo, pero afirmaron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el “Banco de TI” ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).

El grupo de investigadores ha detallado aun mas los ataques de Silence APT y lo ha plasmado en su informe titulado “Silence 2.0: Going Global”, a continuación les dejo un link al informe de Group-IB, por si quieren obtener más información.

https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf

Referencias:

https://www.group-ib.com/media/silence-attacks/

https://www.group-ib.com/resources/threat-research/silence-attacks.html

https://thehackernews.com/2019/08/silence-apt-russian-hackers.html

https://brica.de/alerts/alert/public/1266218/bangladesh-cyber-heist-20-silence-apt-goes-global/

https://itconnect.lat/portal/2019/07/03/silence-666/