APT Silence ataca a bancos en todo el mundo con nuevas TTP

Investigadores de la empresa de ciberseguridad “Group-IB, dieron a conocer un nuevo informe donde se detalla el aumento en la frecuencia y geografía en los ataques provocados por un grupo de ciberdelincuentes rusos, mejorando significativamente sus tácticas. 

Silence es un grupo ruso que tiene como objetivo principal la explotación de instituciones financieras de distintos países. Fue evidenciado por primera vez en junio de 2016 donde sus ataques estaban dirigidos principalmente a los antiguos estados soviéticos y países vecinos, sin embargo, actualmente están atacando agresivamente a más de 30 países de América, Europa, África y Asia en los que se incluye a Chile, focalizando sus esfuerzos en sistemas bancarios, cajeros automáticos y procesos de transacciones financieras.

Al igual que la mayoría de los grupos APT, Silence también utiliza ingeniería social a través de spear-phishing en el envío de correos electrónicos con archivos de ofimática adjuntos con macros, archivos CHM o .LNK como adjuntos maliciosos para iniciar la infección y comprometer el equipo de la víctima. Asimismo, se ha evidenciado el uso de TrueBot y ejecución de comandos a través de PowerShell para mantener persistencia, lograr movimientos laterales y comunicarse con sus servidores de Mando y Control.

Cabe destacar que para elegir sus víctimas, el grupo APT primero crea una "lista de objetivos" actualizada de direcciones de correo electrónico activas y validadas mediante el envío de "emails de reconocimiento", que generalmente contienen una imagen o un enlace sin una carga maliciosa la cual recopila información de todos aquellos usuarios que han hecho clic.

Los investigadores no dieron a conocer los nombres de los bancos a los que atacó Silence APT, pero detallaron algunas de sus víctimas tales como bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el "Banco de TI" ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).

El grupo Silence es catalogado en la actualidad como uno de los grupos más sofisticados que representan una amenaza para los bancos mundiales ya que se ha destacado por las nuevas tácticas, técnicas y procedimientos utilizados en sus campañas, donde se evidencia cambios en sus alfabetos de cifrado, nuevos cifrado de cadenas y comandos para evadir la detección de herramientas de seguridad.

Se recomienda lo siguiente: 

• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Contar con una configuración que habilite SPF en su dominio de correo electrónico.