Group-IB, una compañía internacional especializada en la prevención de ciberataques, ha establecido que Silence, un grupo criminal cibernético de habla rusa, es probable que esté detrás del ataque a los cajeros automáticos del Dutch-Bangla Bank que resultó en el robo de 3 millones de dólares, cantidad reportada por los medios locales, pero que podría ser mucho mayor. Este es uno de los ataques internacionales más recientes de Silence, lo que indica que la banda ha expandido su geografía y se ha globalizado, centrándose ahora en los mercados APAC.

La última etapa del descarado ataque cibernético, que comenzó meses antes, tuvo lugar en Dhaka el 31 de mayo de 2019, según los informes de los medios de comunicación locales. En las imágenes de circuito cerrado de televisión publicadas por los periódicos locales, dos mulas ucranianas con sus caras cubiertas son vistas retirando dinero de los cajeros automáticos del Dutch-Bangla Bank. Hicieron llamadas telefónicas cada vez antes de retirar dinero, lo que inmediatamente despertó el interés del equipo de inteligencia sobre amenazas de Group-IB e indicaron que probablemente se trataría de la participación de un grupo delictivo cibernético organizado y motivado financieramente, en lugar de un simple ataque de skimming. En ese momento, el equipo de Inteligencia de Amenazas del Grupo IB ya sabía que Silence había estado llevando a cabo operaciones en Asia.

El Grupo IB ha estado siguiendo a Silence y su infraestructura desde 2016 y ha publicado un informe titulado «Silence: Moviéndose por el lado oscuro » en septiembre de 2018, que fue el primero en describir en detalle las tácticas y herramientas del grupo. La información recopilada por el equipo de Inteligencia de Amenazas de Group-IB y el conocimiento exhaustivo de la infraestructura de Silence sugieren que los servidores del Dutch-Bangla Bank con IPs externas 103.11.138.47 y 103.11.138.198 se han estado comunicando con el C&C de Silence (185.20.187.89) desde al menos febrero de 2019. Durante el ataque al Dutch-Bangla Bank, los ciberdelincuentes probablemente utilizaron los siguientes troyanos: Silence.Downloader (también conocido como TrueBot), Silence.MainModule (MD5 fd133e977471a761de8a22ccb0d9815b2), que permite ejecutar comandos remotos de forma encubierta y descargar archivos desde el servidor comprometido, y Silence.ProxyBot (MD5 2fe01a04d6beef14555b2cf9a717615c), que ejecuta las tareas del servidor proxy y permite al atacante redirigir el tráfico de un nodo oculto a un servidor backconnect a través de un PC comprometido.

Una vez que obtuvieron acceso a la infraestructura del banco, Silence pasó a la siguiente etapa del ataque: la retirada de dinero. Una de las instancias fue mostrada en la vídeovigilancia del 31 de mayo, publicada por los medios de comunicación locales. Basado en los TTPs utilizados por Silence, el dinero podría haber sido robado de dos maneras: los hackers podrían haber comprometido el sistema de procesamiento de tarjetas del banco o haber utilizado el software personalizado Atmosphere, un conjunto de herramientas para el jackpotting de los cajeros automáticos. La descripción detallada del conjunto de herramientas de Silence está disponible en el informe del Grupo IB «Silence: Moviéndose por el lado oscuro».

«Lo que vemos ahora es que Silence continúa cambiando su enfoque desde la CEI y los países vecinos hacia los mercados internacionales», comenta Rustam Mirkasymov, Jefe de Análisis Dinámico de Código Malicioso en Group-IB. «Después de haber probado sus herramientas y técnicas en Rusia, Silence se ha ganado la confianza y la habilidad necesarias para ser una amenaza internacional para los bancos y las corporaciones. Asia llama especialmente la atención de los ciberdelincuentes. Dutch-Bangla Bank no es la primera víctima de Silence en la región. En total, sabemos de al menos 4 objetivos que Silence ha atacado en Asia recientemente».

Sobre Silence      

Silence es un grupo activo, aunque muy pequeño, de hackers de habla rusa. Group-IB detectó por primera vez la actividad del grupo en 2016. En el curso de su «trabajo», Silence atacó los sistemas de gestión bancaria, los sistemas de procesamiento de tarjetas y el sistema ruso de transferencias interbancarias (AWS CBR). Los objetivos de la banda se encuentran principalmente en Rusia, Ucrania, Bielorrusia, Azerbaiyán, Polonia y Kazajstán, aunque se enviaron correos electrónicos de phishing a empleados de bancos de Europa Central y Occidental, África y Asia. Recientemente, el Grupo IB ha detectado que Silence ha cambiado su enfoque de la CEI y los países vecinos a los mercados internacionales. El informe «Silencio: Moviéndose por el lado oscuro » se publicó en septiembre de 2018 y fue el primero en describir las tácticas y herramientas del grupo.