Group-IB descubre nuevos ataques a bancos del grupo Silence, los que se han dado en llamar los sonidos del silencio

 

Group-IB, una compañía internacional especializada en la prevención de ciberataques, ha expuesto los ataques cometidos por el grupo cibercriminal Silence. Mientras que la pandilla había apuntado previamente a bancos rusos, los expertos del Grupo IB han descubierto evidencia de la actividad del grupo en más de 25 países en todo el mundo. Group-IB ha publicado su primer informe detallado «Silence: Moving into the dark» (“Silencio: mudandose a el lado oscuro”) sobre las tácticas y herramientas empleadas por los ciberdelincuentes. La hipótesis de los analistas de seguridad del Grupo IB es que al menos uno de los miembros de la pandilla parece ser un empleado actual o anterior de una compañía de ciberseguridad. El daño confirmado de la actividad de Silence se estima en USD800.000.

Después de que la actividad del grupo Cobalt ha disminuido, Silence se ha convertido en una de las principales amenazas para los bancos rusos e internacionales. Conocido solo por los especialistas en ciberseguridad, Silence es un ejemplo de un grupo móvil, pequeño y joven que ha estado progresando rápidamente. Los robos confirmados por Silence aumentaron más de cinco veces, de apenas USD100.000 en 2017 a USD550.000 en menos de un año. El total de los robos confirmados de Silence ascienden a USD800.000.

Durante más de dos años, no hubo ni una sola señal de Silencio que permitiera identificarlos como un grupo de delito cibernético independiente. La cronología y la naturaleza de los ataques identificados por los especialistas forenses del Grupo IB sugirieron enérgicamente que los primeros ataques fueron de naturaleza muy amateur y que los delincuentes aprendían a medida que avanzaban. Desde el otoño de 2017, el grupo se ha vuelto más activo. Según el análisis y la comparación con otros incidentes y cronogramas financieros, está claro que Silence analiza métodos de otros grupos delictivos y los aplica junto a nuevas tácticas y herramientas en varios sistemas bancarios: AWS CBR (Cliente de la estación de trabajo automatizada del Banco Central de Rusia), cajeros automáticos y procesamiento de tarjetas

Los equipos de inteligencia y respuesta a incidentes del Grupo IB detectaron la actividad de Silence por primera vez en 2016. Los miembros de Silence intentaron retirar dinero a través de AWS CBR; sin embargo, debido a algunos errores en las órdenes de pago, el robo fue prevenido con éxito. En 2017, Silence comenzó a realizar ataques contra los cajeros automáticos. El primer incidente confirmado por Group-IB reveló que los miembros de la banda robaron USD100 000 USD de los cajeros automáticos en solo una noche. En 2018, se enfocaron en el procesamiento de tarjetas usando un ataque de la cadena de suministro, recogiendo USD550.000 en cajeros automáticos de socios del banco durante un fin de semana. En abril de 2018, dos meses después de que se enfocaron con éxito en el procesamiento de tarjetas, el grupo decidió apalancar su esquema anterior y robó aproximadamente USD150.000 a través de cajeros automáticos. En este punto, los ataques descritos anteriormente pueden atribuirse inequívocamente a Silence, pero los expertos en seguridad de Group-IB creen que han habido otros ataques exitosos en los bancos.

 

¿Quiénes son en “Silence”?

Los expertos de Group-IB concluyeron que Silence es un grupo de hackers de habla rusa, basados en el lenguaje de comandos, la ubicación de la infraestructura que utilizan y la geografía de sus objetivos (Rusia, Ucrania, Bielorrusia, Azerbaiyán, Polonia y Kazajstán). Aunque los correos electrónicos de phishing también se enviaron a empleados del banco en Europa Central y Occidental, África y Asia). Además, Silence usó palabras rusas escritas en un diseño de teclado en inglés como comandos para la puerta trasera empleada. Los hackers también utilizaron servicios de alojamiento web en ruso.

Parece que solo hay dos miembros en Silence: un desarrollador y un operador. Esto explica por qué son tan selectivos en sus objetivos de ataque, y por qué les lleva tanto tiempo (hasta 3 meses, que es al menos tres veces más que otros grupos como Anunak, Buhtrap, MoneyTaker y Cobalt) cometer un robo. Un miembro de la banda, un desarrollador, tiene las habilidades de un ingeniero con mucha experiencia. Desarrolla herramientas para realizar ataques y modifica exploits y software complejo. Sin embargo, el desarrollador comete una serie de errores, que son bastante comunes para analistas de virus o ingenieros inversos; él sabe exactamente cómo descifrar software, pero no sabe cómo programarlo correctamente. El segundo miembro del equipo es un operador. Tiene experiencia en pruebas de penetración, lo que significa que puede encontrar fácilmente su camino en la infraestructura bancaria. Él es quien usa las herramientas desarrolladas para acceder a los sistemas bancarios e inicia el proceso de robo.

 

Herramientas y métodos de «Silence»

Al igual que la mayoría de los grupos de delitos informáticos, Silence usa correos electrónicos de phishing. Inicialmente, el grupo usó servidores pirateados y cuentas comprometidas para sus campañas. Más tarde, los delincuentes comenzaron a registrar dominios de phishing, para lo cual crearon certificados autofirmados. Silence usa correos electrónicos de phishing muy bien diseñados, que generalmente pretenden provenir de empleados del banco. Para llevar a cabo sus campañas de phishing, los hackers alquilan servidores en Rusia y los Países Bajos. Silence también usa servicios de alojamiento en Ucrania para usar como servidores C & C. Un número de servidores fueron alquilados a MaxiDed, cuya infraestructura fue bloqueado por Europol en mayo de 2018 por sus primeras operaciones, Silence utilizó una puerta trasera prestada por el grupo Kikothac, lo que deja claro que el grupo inició su actividad sin ningún tipo de preparación. Más tarde, el desarrollador del grupo creó un conjunto único de herramientas para ataques al procesamiento de tarjetas y cajeros automáticos, incluido un marco para ataques de infraestructura, Atmosphere, un conjunto de herramientas de software para ataques a cajeros automáticos, Farse, una herramienta para obtener contraseñas de una computadora comprometida y Cleaner: una herramienta para la eliminación de registros. «Silence, en muchos sentidos, está cambiando la percepción del delito cibernético en términos de la naturaleza de los ataques, las herramientas, las tácticas e incluso los miembros del grupo. Es obvio que los criminales responsables de estos crímenes estuvieron en algún momento activos en la comunidad de seguridad. Ya sea como probadores de penetración o ingenieros inversos «, dice Dmitry Volkov, director de tecnología y jefe de inteligencia de amenazas en Group-IB. «Estudian cuidadosamente los ataques realizados por otros grupos de ciberdelincuentes y analizan los informes de antivirus y de inteligencia de amenazas. Sin embargo, no los salva de cometer errores; aprenden sobre la marcha. Muchas de las herramientas de Silence son legítimas, otras se desarrollaron y aprendieron de otras bandas. Después de haber estudiado los ataques de Silence, concluimos que lo más probable es que sean hackers de sombreros blancos que evolucionan hacia sombreros negros. Internet, especialmente la red clandestina, favorece este tipo de transformación; ahora es mucho más fácil convertirse en un ciberdelincuente que hace 5-7 años: puede alquilar servidores, modificar exploits existentes y usar herramientas legales. Esto hace las cosas más complicadas para los equipos azules y mucho más fácil para los piratas informáticos «.