Los investigadores de seguridad de Kaspersky han informado sobre miles de notificaciones de ataques a los principales bancos ubicados en la región del África subsahariana (ASS).
El malware utilizado en los ataques indica que es muy probable que los actores de la amenaza sean un infame grupo de piratas informáticos conocidos como Silence, anteriormente conocidos por ser responsables del robo de millones de dólares de bancos de todo el mundo.
El grupo Silence es uno de los actores más activos de amenazas persistentes avanzadas (APT), y ha llevado a cabo una serie de exitosas campañas dirigidas a bancos y organizaciones financieras de todo el mundo.
El escenario típico del ataque comienza con un esquema de ingeniería social, ya que los atacantes envían un correo electrónico de phishing que contiene malware a un empleado del banco. A partir de ahí, el malware entra en el perímetro de seguridad de los bancos y permanece oculto durante un tiempo, reuniendo información sobre la organización de la víctima mediante la captura de capturas de pantalla y la realización de grabaciones de vídeo de la actividad diaria en el dispositivo infectado, aprendiendo el modo en que funcionan las cosas en los bancos objetivo.
Una vez que los atacantes están listos para entrar en acción, activan todas las capacidades del malware y el efectivo utilizando, por ejemplo, cajeros automáticos. El alcance de estos ataques en ocasiones es de millones de dólares.
Los ataques detectados comenzaron en la primera semana de enero e indicaron que los actores de la amenaza están a punto de comenzar la etapa final de su operación y de cobrar los fondos. Hasta la fecha, los ataques continúan y persisten en los grandes bancos de diferentes países del África subsahariana.
Los investigadores de Kaspersky atribuyen los ataques al grupo de habla rusa Silence basándose en el malware utilizado en los ataques, utilizado exclusivamente en las operaciones del grupo.
Además, el idioma del malware es el ruso, os actores de la amenaza intentaron cubrir ligeramente este hecho escribiendo palabras rusas utilizando la disposición del teclado inglés.
«El grupo Silence ha sido bastante productivo en los últimos años, ya que hace honor a su nombre; sus operaciones requieren un extenso período de vigilancia silenciosa, con robos rápidos y coordinados», ha comentado Sergey Golovanov, investigador de seguridad de Kaspersky.
«En 2017 detectamos un creciente interés de este grupo en las organizaciones bancarias y, desde entonces, el grupo se ha desarrollado constantemente, expandiéndose a nuevas regiones y actualizando su esquema de ingeniería social. Instamos a todos los bancos a que se mantengan vigilantes, ya que aparte de las grandes sumas el grupo Silence también roba otra información sensible mientras vigila la actividad de los bancos mientras graban en vídeo la actividad de la pantalla. Este es un serio abuso de la privacidad que puede costar más de lo que el dinero puede comprar»
Kaspersky detecta el malware utilizado en la operación como HEUR:Trojan.Win32.Generic,PDM:Exploit.Win32.Generic
Para protegerse frente a este y otros ataques similares, aconsejamos a las organizaciones financieras que apliquen las siguientes medidas:
- Introducir una formación básica de concienciación sobre seguridad para todos los empleados, de forma que puedan distinguir mejor los intentos de phishing
- Supervisar la actividad en el centro de operaciones de seguridad de la información de los sistemas de información de las empresas
- Utilizar soluciones de seguridad con funcionalidad dedicada a la detección y bloqueo de intentos de phishing. Las empresas pueden proteger sus sistemas de correo electrónico en las instalaciones con aplicaciones específicas dentro de Kaspersky Endpoint Detection and Response o utilizar la plataforma Kaspersky Anti Targeted Attack.
- Proporcionar a los equipos de seguridad acceso a datos actualizados de inteligencia de amenazas, para mantenerse al día con las últimas tácticas y herramientas utilizadas por los delincuentes cibernéticos
- Preparar un plan de respuesta a incidentes para estar preparados para posibles incidentes en el entorno de la red