Panorama de amenazas que afectan al sector financiero

07 Septiembre 2021
Informativo

El sistema financiero mundial está experimentando una transformación digital sin precedentes, acelerada por la pandemia de COVID‑19. Los bancos compiten con las empresas de tecnología, y viceversa. Mientras tanto, la pandemia ha intensificado la demanda de servicios financieros en línea y ha normalizado el teletrabajo. Los bancos centrales en todo el mundo están considerando dar su respaldo a las monedas digitales y modernizar los sistemas de pago. En este momento de transformación, en el que un incidente podría fácilmente socavar la confianza y descarrilar las innovaciones, la ciberseguridad es más esencial que nunca. Los ciberactores se han aprovechado de esta transformación digital y ahora constituyen una mayor amenaza para el sistema financiero mundial, la estabilidad financiera y la confianza en la integridad del sistema. Según el Banco de Pagos Internacionales, el sector financiero registra el segundo mayor porcentaje de ciberataques relacionados con la COVID‑19, detrás solo del sector sanitario.

¿Quién está detrás de la amenaza?

Dentro del panorama de amenazas debemos distinguir entre las que apuntan fuertemente al proveedor como instituciones bancarias que poseen una fuerte inversión en seguridad y la que afectan al cliente como medio de traspasar las barreras de seguridad de las instituciones y lograr la recompensa económica.

Desde mediados de agosto de 2020, se evidenciaron múltiples correos electrónicos a  empresas con una carta de extorsión, exigiendo el pago y amenazando con ataques DDoS selectivos si sus demandas no se cumplen. Estas solicitudes de extorsión eran de actores de amenazas que se hacían pasar por "Fancy Bear", "Armada Collective" y "Lazarus Group". Las cartas se enviaban por correo electrónico y, por lo general, contenían datos específicos de la víctima, como números de sistema autónomo (ASN) o direcciones IP de servidores o servicios a los que se dirigirán si no se cumplen sus demandas. Esto se transformó en una campaña global con amenazas reportadas por organizaciones de finanzas, viajes y comercio electrónico en APAC, EMEA, Norteamérica y Sudamérica.

Pero, ¿porque se le llama ataque RDDoS?

Teniendo claro que el ransomware busca pedir un rescate económico a su víctima y que un  ataque DDoS tienen como misión dejar sin servicio una página web o plataforma online, un ataque RDDoS, podemos decir que es una mezcla de ambos, ya que un atacante lleva a cabo un ataque DDoS y pide un rescate económico para que dicho ataque ceda. Esto último es lo que se asemeja al ransomware.

Cómo evitar ser víctima de los ataques RDDoS

Para evitar ser víctimas de un ataque RDDoS los consejos van a ser similares a los que daríamos para protegernos de un ataque DDoS común:

  • Una buena estrategia que proteja adecuadamente todos los equipos que haya conectados a Internet en nuestra empresa u organización.
  • Para protegernos de ataques RDDoS es fundamental monitorizar el tráfico.
  • Un Cortafuegos capaz de bloquear todas las solicitudes de acceso que no sean legítimas.
  • Evaluar la utilización de un servicio de mitigación de DDoS, junto con la implementación de aplicaciones a través de una infraestructura altamente distribuida.
  • Una recomendación importante es que jamás se pague el rescate exigido, ya que eso solo sirve para fomentar este modelo de negocio ilícito, y no existen garantías de que los delincuentes vayan a detener el ataque realmente. Los actores que realizan estos ataques de extorsión buscan un pago rápido, con el menor esfuerzo posible de su parte.

Durante el año 2021, hemos consolidado nuevas estadísticas sobre ransomware que son concluyentes respecto al crecimiento vertiginoso que supone y seguirá proyectando. Los ataques de ransomware se mantienen como principal vector de amenaza, principalmente potenciados por la pandemia de COVID-19 y la necesidad de implantar y principiar en el teletrabajo.

En muchos ataques de ransomware, más del 70% de los ciberactores han adoptado una estrategia de rescate dual, amenazando a las víctimas con pagar enormes rescates con problemas de fuga de datos, porque los rescates generalmente se pagan en criptomonedas, y las criptomonedas tienen un cierto grado de seguridad basado en el anonimato, por lo tanto, el proceso de rastreo traerá ciertas dificultades y desafíos a las agencias de aplicación de la ley.

“Si no paga, no recuperará sus datos”

v1.0 Táctica de ransomware original. En otras palabras, una denegación de servicio contra sus datos. Usted paga y (a veces) recupera sus datos. Este tipo de chantaje se vio facilitado por el uso de la criptomoneda como medio de pago.

v1.5 Marcó la aparición de los primeros grupos como RaaS.

“Si no paga, divulgarán esta información al público”

v2.0 Robo de los datos antes de cifrarlos y forzar los pagos amenazando con publicar la información, afectando la reputación de su negocio y la confidencialidad de sus datos.

v2.5 Sumar una variante a la extorsion, consistente en el envío de correos a las personas (clientes o colaboradores de la víctima) evidenciando que han capturado sus datos por falta de seguridad de la organización comprometida.

"Si no paga, desconectamos su negocio"

v3.0 Cuando las extorsiones anteriores no han sido suficiente, se suma una tercera táctica. Una denegación de servicio nuevamente, pero esta vez, a nivel de la red pública de la víctima. Evidenciada principalmente cuando la información comprometida no compromete seriamente a la empresa afectada.

Panorama de Ransomware Segundo trimestre 2021

Si bien a menudo vemos nombres de empresas afectadas a nivel global, con especial hincapié en los Estados Unidos y Europa, el cono sudamericano no ha estado ajeno a los operadores detrás de este tipo de amenazas, es en ese sentido que tenemos que destacar los siguientes grupos de ransomware.

Para más detalles visite nuestro boletín  Panorama de Ransomware Segundo trimestre 2021

REvil efectúa ataque a la cadena de suministro de Kaseya (Boletín 880)

El 2 de julio, la operación de ransomware REvil lanzó un ataque masivo al explotar una vulnerabilidad de día cero en la aplicación de administración remota Kaseya VSA para cifrar aproximadamente sesenta proveedores de servicios administrados y aproximadamente 1.500 empresas. Exigiendo USD 70 millones por un descifrador universal para las víctimas de este ataque.

  • Kaseya a fines de Julio anunció el recibo de  un descifrador universal para las víctimas del ataque de ransomware de un "tercero de confianza" y lo distribuyeron a los clientes afectados.
  • Poco después, la  banda de ransomware REvil desapareció misteriosamente y los actores de amenazas cerraron sus sitios de pago e infraestructura. Es altamente probable que los ciberactores detrás de Revil / Sodinokibi hayan decidido como mejor estrategia eliminar su actual operación para luego volver a emerger, con el objetivo de dificultar el seguimiento y el rastreo por parte de los organismos de seguridad.

Nuevas campañas de Ryuk evidenciadas en Chile y España (Boletín 914)

Conti entre los ransomware con más operaciones vigentes

Conti es un Ransomware as a Service relacionado directamente con TrickBot, el cual lo apoya en el acceso inicial para el posterior despliegue de sus ataques con las víctimas. Actualmente presenta gran actividad publicando múltiples afectados mensualmente de diferentes puntos geográficos y de diferentes sectores industriales, donde hasta el momento no se aprecian organizaciones afectadas en Chile.

Los actores de amenazas involucrados en los ataques que utilizan Conti han creado un conjunto complejo de herramientas diseñadas en forma personalizada, no solo para ofuscar el malware en sí cuando se entrega, sino también, para ocultar las ubicaciones de Internet desde las que los atacantes lo han descargado.

Las primeras noticias de Grief surgieron a principios de junio, apareciendo como una nueva operación, pero se han encontrado importantes similitudes con ransomware DoppelPaymer, lo que ha permitido a investigadores conjeturar que Grief ransomware es la última versión del ransomware DoppelPaymer con cambios menores en el código y con una nueva apariencia.

Ransomware BlackMatter presente en el panorama de amenazas sudamericano y nacional

BlackMatter es un nuevo programa de afiliados de ransomware como servicio (RaaS) que se fundó en julio de 2021, Según BlackMatter, “el proyecto ha incorporado en sí mismo las mejores características de DarkSide, REvil y LockBit”, anunciando su interés en todas las industrias excepto en el cuidado de la salud y los gobiernos.

RaaS Thanos el origen de Haron y Prometheus

Haron tuvo su primera aparición el 21 de julio de 2021 y actualmente está activo cobrando nuevas víctimas. Ha presentado actividad en países como Dinamarca, Holanda y el Líbano en sectores industriales de construcción, manufactura y tecnología. Investigadores han establecido que en su inicio se ha caracterizado por auto-vincularse con “Avaddon” imitando en gran parte su imagen “corporativa” con leves diferencias visuales en su portal web y nota de rescate.

"Prometheus" es un grupo de ransomware, observado por primera vez en febrero de 2021. Se presenta a sí mismo como relacionado con REvil, pero tal relación nunca fue confirmada por este último. Prometheus emplea una variante personalizada del ransomware Thanos. El grupo gestiona un sitio de filtraciones donde han publicado información robada de más de 30 organizaciones con sede en más de 15 países.

LockBit v2.0 evidenciado con fuertes campañas a nivel global

LockBit, que se cree que había operado anteriormente con el nombre de ABCD, opera una estructura RaaS, proporcionando a los grupos afiliados un panel de control central para crear nuevas muestras de su malware. Los afiliados de LockBit a menudo compran el acceso del Protocolo de escritorio remoto (RDP) a los servidores como un vector de ataque inicial, aunque también utilizan técnicas típicas de phishing y relleno de credenciales. Si bien LockBit no es un malware de reciente aparición su nueva variante denominada como LockBit 2.0 ha demostrado importantes capacidades con presencia a nivel nacional.

Vectores de ataque Ransomware 2021

Las filtraciones de datos, desgraciadamente, se han convertido en algo muy común en Chile y en el resto del mundo. No faltan casos tanto de empresas nacionales como de otros países. Pero son los usuarios al final los que salen peor parados. La filtración de tarjetas bancarias en Internet son una constante que amenaza al sector financiero.

La existencia de mercados ilícitos que están vendiendo no solo información de sistemas comprometidos, tal como lo hemos expuesto en anteriores boletines, sino que también se caracterizan por ofrecer transacciones para comprar y vender los datos bancarios de millones de personas. 

Lo más grave es que estos datos incluyen todo lo necesario para realizar estafas por Internet; nombres, direcciones, números de tarjetas de crédito, sus fechas de caducidad y más grave aún, sus códigos CVV. Un usuario que tenga todos estos datos podría perfectamente no solo realizar campañas de phishing, sino activar estafas a gran escala.

Algunos de reconocidos mercados negros que ofrecen tarjetas bancarias son:

Web que lleva activa, desde mayo de 2021 como “ AllWorld.cards “ o bien a través de la Dark Web en un dominio .onion, tiene un stock de cerca de 2,7 millones de tarjetas robadas. Por países, Estados Unidos es el país con más tarjetas disponibles para su venta.

Los principales bancos afectados según la firma de seguridad Cyble son:

  • STATE BANK OF INDIA (44.654 tarjetas de crédito)
  • JPMORGAN CHASE BANK N.A. (27.440 tarjetas de crédito)
  • BBVA BANCOMER S.A. (21.624 tarjetas de crédito)
  • THE TORONTO-DOMINION BANK (14.647 tarjetas de crédito

Por lo que parece, todas estas tarjetas de crédito fueron robadas entre 2018 y 2019. Según él mismo, de una muestra al azar de 98 tarjetas de crédito, un 27% siguen todavía activas y funcionando.

Se pudo evidenciar valores de compra que van desde 30 céntimos con un precio máximo de 14,40 dólares. La web permite filtrar por países, bancos, tipo de tarjeta e incluso ver las que son reembolsables en caso de no funcionar.

Joker's Stash, la tienda de tarjetas de pago robadas más antigua, se lanzó en 2014 a raíz de varias violaciones importantes de tarjetas de crédito y el éxito de otras tiendas ilícitas como Silk Road. Vendió con éxito detalles de tarjetas de crédito robadas de varias violaciones de datos durante poco más de seis años. Se calcula que reunió en este tiempo casi 400 millones de dólares (aproximadamente 1,4 billones de pesos).

Joker's Stash, Anunció en enero 2021 su cierre para febrero de 2021. El anuncio se produjo inmediatamente después de un año turbulento para la principal tienda de delitos informáticos, y solo unas semanas después las autoridades estadounidenses y europeas incautaron varios de sus servidores.

JokerStash', no solo utilizaba el ‘carding’ para robar, también ayudaba a ‘lavar’ y retirar criptomonedas obtenidas a través de otros delitos informáticos.

Es una forma de fraude con tarjetas de crédito en la que se utiliza una tarjeta de crédito robada para cargar tarjetas prepagas. Generalmente, implica el uso de la tarjeta robada para comprar tarjetas de regalo de tiendas de marca, que luego pueden venderse a otras personas o usarse para comprar otros bienes que se pueden vender por dinero en efectivo. Los ladrones de tarjetas de crédito que están involucrados en este tipo de fraude se denominan "carders".

Cómo funciona un ataque de carding?

  • Un ataque de carding normalmente sigue estos pasos:
  • Un atacante obtiene una lista de números de tarjetas de crédito robadas, ya sea de un mercado criminal o comprometiendo un sitio web o canal de pago. A menudo se desconoce su calidad.
  • El atacante despliega un bot para realizar pequeñas compras en múltiples sitios de pago. Cada intento prueba un número de tarjeta con los procesos de pago de un comerciante para identificar detalles válidos de la tarjeta.
  • La validación de la tarjeta de crédito se intenta miles de veces hasta que se obtienen los datos validados de la tarjeta de crédito.
  • Los números de tarjetas exitosos se organizan en una lista separada y se utilizan para otras actividades delictivas o se venden a redes del crimen organizado.
  • El fraude de tarjetas a menudo no es detectado por el titular de la tarjeta hasta que es demasiado tarde cuando sus fondos se gastan o transfieren sin su consentimiento.

¿Cómo puedo prevenir y combatir el carding?

  • Nunca responder correos o llamadas telefónicas que soliciten información de su tarjeta. Las empresas bancarias jamás solicitan información por emails o teléfono.
  • Cuando reciba su tarjeta en tu domicilio revisa que el sobre esté completamente cerrado y no presente indicios de haber sido abierto. 
  • Cuando su tarjeta expire y debas destruirla, córtala en varios pedazos para destruir completamente la banda magnética y tire los pedazos en distintas bolsas de basura.
  • No pierda de vista su tarjeta en ningún momento cuando estés comprando.
  • Lleve control de sus operaciones.
  • Evite usar ordenadores públicos para hacer compras.

Carding en Chile

Una operación conjunta, desarrollada por la policía de españa y la Brigada de Cibercrimen de la Policía de Investigaciones de Chile, en el marco de la operación Recolector, ha desarticulado en agosto 2021, una organización criminal de carácter internacional dedicada a la comisión de delitos relacionados con el fraude informático en todo su espectro, principalmente a través del 'carding', de forma que se han detenido a once personas en España y Chile tras dos registros domiciliarios en Cádiz, Málaga y otros dos en Santiago de Chile, se ha abierto investigación a otras 20 y se han disuelto grupos de más de 100.000 miembros de una conocida aplicación de mensajería.

El modus operandi identificado se basaba, fundamentalmente, en la suplantación de sitios web reales, método conocido como 'phishing', pertenecientes a entidades bancarias nacionales e internacionales, así como de conocidas empresas de servicios de contenidos en multimedia en directo y obtener con ello de esa manera los datos de las víctimas.

Destaca pues el enorme potencial delictivo y la peligrosidad y efectividad de esta organización, la cual llegaba a diseñar soluciones técnicas (uso de bots) para automatizar el proceso compras en plataformas web y así de esta manera conseguir que las víctimas no dispusieran de tiempo suficiente para cancelar la tarjeta ni avisar a la entidad bancaria.

Malware como servicio (MaaS)

Así como las principales organizaciones tecnológicas han evolucionado a lo largo de los años para proporcionar servicios basados ​​en la nube, los ciberdelincuentes también han evolucionado hacia un modelo similar de servicio. 

Las plataformas de MaaS, como característica, ofrecen servicios de alquiler de malware que permiten que cualquier persona con una conexión a Internet obtenga acceso a soluciones de malware personalizadas. Algunos de estos servicios incluso ofrecen garantías de devolución de dinero, mientras que otros operan basados ​​en comisiones vinculadas al éxito de campañas desplegadas.

Las redes de malware como servicio operan generalmente bajo los siguientes tres niveles:

  • Nivel programadores: Encargados de desarrollar los kits de malware.
  • Nivel Distribuidor: Especializado en identificar vulnerabilidades explotables en los sistemas informáticos que faciliten la inyección de malware durante las campañas de distribución.
  • Nivel administrador: Supervisan el funcionamiento correcto de la red. asegurándose que todos los participantes cumplan con las reglas internas. También reciben comisiones de rescate durante las campañas.

El malware ha pasado a representar una peligrosa fauna cibernética, donde destacan algunos por su capacidad disruptiva, otros por la capacidad de comprometer muchas víctimas en cortos periodos de tiempo y otros por el tipo de daño reputacional que infringen. Por esto, como parte de la actualización constante de nuestros panoramas es que queremos destacar las variantes de malware más connotadas durante el primer semestre de 2021 a nivel global:

Panorama malware primer trimestre 2021

Dridex malware

Dridex, uno de los malwares considerado como la mayor amenaza cibernética actual, mantiene su importante presencia dentro del panorama de malware este año 2021.

El prolífico malware troyano Trickbot ha reaparecido con fuerza durante este año luego de una operación encabezada por Microsoft para derribarlos en octubre de 2020.

Qbot, también conocido por los nombres QakBot, QuackBot y Pinkslipbot, es un ladrón de información modular que ha estado activo durante casi 14 años. Un troyano bancario que apareció por primera vez en 2008, diseñado para robar a los usuarios las credenciales bancarias y las pulsaciones de teclas. A menudo distribuido a través de correo electrónico no deseado, Qbot emplea varias técnicas anti-VM, anti-depuración y anti-sandbox, para dificultar el análisis y evadir la detección.

Troyanos bancarios sudamericanos

Una importante parte de las campañas de phishing que están intentando obtener credenciales de acceso a los servicios de banca en línea en instituciones financieras provienen de troyanos bancarios provenientes de Brasil. Los ciberactores detrás de estos malware llevan mucho tiempo robando credenciales bancarias de usuarios de varios países y parece que el número de víctimas sigue siendo lo suficientemente interesante como para continuar con este tipo de acciones delictivas.

Estas campañas han sido atribuidas principalmente a las ya conocidas familias de malware bancario como Amavaldo, Grandoreiro y Mekotio. Sin embargo, este 2021 se le han sumado ciberactores tales como Ugly Dolphin, Casbaneiro y Vadokrist.

Desde primer semestre de 2020 hasta primer semestre de 2021 se mantiene una curva ascendente y continua en la actividad del phishing superando los 200.000 sitios de phishing únicos detectados.

El sector más apuntado por los ataques de phishing sigue siendo la industria financiera, que registró el 24.9% de los intentos de phishing durante el primer trimestre, seguido por las redes sociales con el 23.6% y los proveedores de servicios de correo a través de sitios web con el 19.6%.

Gráfica orígenes de Phishing bancario Nacional destacando enlaces falsos desde EE.UU y Malasia.

Panorama Phishing financiero Primer semestre 2021

En campañas de phishing analizadas en el último tiempo nos muestran que ya no basta con verificar si un sitio es seguro o no analizando si cuenta con HTTPS, ya que el 83% de los sitios detectados utilizaban este protocolo.

Por otra parte, la cantidad promedio solicitada en los ataques de transferencia bancaria aumentó un 14 por ciento, estafas conocidas como BEC (del inglés Business Email Compromise), que son engaños que apuntan los departamentos de finanzas de las organizaciones y que utilizan el correo electrónico para generalmente suplantar la identidad de una persona confiable, como un empleado de la propia organización o de una compañía socia, para y solicitar el envío de una transferencia de dinero. 

La evolución del phishing ha sido tan rápida como la conectividad. A mayor cantidad de dispositivos conectados, mayor es el público propenso a caer en este ataque de ingeniería social. Estos ataques seguirán siendo una forma muy efectiva de ataque, ya que ataca un punto muy débil como son las emociones de los seres humanos, con correos muy tentadores o preocupantes. Información y concientización son unos de los elementos clave para evitar casi todas las ciberamenazas que llegan a través del correo electrónico.

Infostealers es el nombre genérico de programas informáticos maliciosos, que se introducen a través de internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseñas o números de tarjetas de crédito.

Su intención principalmente es lograr obtener todo lo que pueda para usar las credenciales robadas para un ataque posterior o venderlas en mercados negros.

Snake Keylogger, detectado por primera vez en noviembre de 2020, Durante Julio ha sido evidenciado con una intensa campaña de phishing. Snake es un keylogger.NET modular y ladrón de credenciales. Su función principal es registrar las pulsaciones de los usuarios en ordenadores o dispositivos móviles y transmitir los datos recogidos a los ciberdelincuentes. Actualmente existen foros clandestinos de hacking en los que se puede adquirir este Keylogger por precios que oscilan entre los 25 y los 500 dólares, dependiendo del nivel de servicio ofrecido.

El infostealer de Raccoon fue descubierto por primera vez en 2019 y ya ha establecido un gran número de seguidores entre los ciberdelincuentes. Su popularidad, incluso con un conjunto de funciones limitado, indica la continuación de una tendencia creciente de mercantilización del malware a medida que siguen un modelo MaaS (Malware-as-a-Service). El malware parece estar controlado desde un servidor de panel de control y comando basado en Tor. Como muchos otros servicios comerciales basados ​​en la web, está en constante desarrollo con nuevas funciones y correcciones de errores. Incluso está proporcionando actualizaciones automáticas para el malware ya implementado en las máquinas infectadas. Aunque el malware como servicio se vende principalmente en foros de habla rusa, también tiene anuncios y soporte en inglés.

Vidar es una evolución del conocido Arkei Stealer. Vidar comparte muchas similitudes de código con Arkei, aunque algunas de sus características han evolucionado. Parece que ambos ladrones, han sido desarrollados por el mismo grupo. Vidar comprueba las preferencias de idioma de la máquina infectada para incluir en la lista blanca algunos países para una mayor infección. Después de eso, genera un Mutex e inicializa las cadenas necesarias para operar. Vidar también hace uso de ID de perfil, una de las características más importantes, ya que permite configurar la carga útil (por ejemplo, configurándose para que el malware obtenga información adicional en las máquinas con ciertos perfiles). Los usuarios de Vidar también pueden activar o desactivar algunas funciones para usar el ladrón para propósitos realmente específicos. También es importante tener en cuenta que con Vidar es posible implementar varios perfiles al mismo tiempo. Eso significa que cuando la carga útil está infectando la máquina víctima, el archivo X para el perfil X se guarda en el repositorio de "archivos". El actor de la amenaza podría ordenar fácilmente los datos capturados con fines maliciosos. 

Hay dos versiones diferentes de C2. El original está asociado con la versión paga de Vidar, Vidar Pro. También hay otra versión C2 utilizada en la versión crackeada de Vidar que se distribuye en foros clandestinos, llamada Anti-Vidar. No hay diferencias significativas entre estas versiones, con la excepción del C2.

Vidar se puso a la venta por primera vez en el foro Exploit de idioma ruso de primer nivel el 3 de noviembre de 2018.

RedLine Stealer ha sido evidenciado brindando sus servicios a través de Telegram. Este malware puede robar datos de varias víctimas, incluidas las credenciales del navegador, cookies, información del sistema, detalles del procesador, etc. lo que lo hace muy popular. RedLine Stealer ha estado activo en el mercado desde el año 2020.

Formbook es un ladrón de información que recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra las pulsaciones de teclas, y puede descargar y ejecutar archivos de acuerdo con sus órdenes de C&C.

Hizo su aparición a finales de 2016, cuando su autor empezó a ofrecerlo en HackForums un foro clandestino. Inicialmente distribuido en su versión BETA de forma gratuita, pronto se convirtió en un servicio de pago con un esquema MALWARE-AS-A-SERVICE. Presenta la capacidad de robar información de forma genérica mediante la búsqueda de palabras clave - como LOGIN, PASS, TOKEN, CUENTA, EMAIL - durante la transmisión de formularios WEB. 

Otra característica interesante de FormBook es el amplio uso de medidas "anti". El autor ha incluido muchas técnicas conocidas, pero no tan comunes, de anti-detección / sandbox / análisis y ofuscación, como cifrar la mayoría de los datos utilizados para la operación, usar llamadas a funciones dinámicas, cargar su propia copia de NTDLL, verificar la ejecución procesos, verificando DLLs cargados y buscando rutas de sandbox / nombres de usuario conocidos, entre otros.

La contingencia sanitaria ha involucrado significativamente a nivel mundial la disminución del efectivo y un aumento exponencial de tarjetas bancarias ingresadas en plataformas tecnológicas y de aplicativos bancarios desplegados en dispositivos móviles con fin de brindar seguridad a las transacciones y consultas de sus clientes.

Estos factores han sido constantemente explotados en la actualidad mediante diferentes técnicas entre las que destaca la presencia de malware principalmente enfocadas en sistemas Android triplicando los casos en comparación a IOS.

Android

Debido a que el código fuente de Android es OpenSource basado en Unix por ende su funcionamiento es similar a sistemas Linux utilizados en computadores, ha permitido que las herramientas de estos últimos sean utilizados y ejecutadas desde y hacia celulares facilitando el desarrollo e impacto de malware tipo Troyano alojados en aplicaciones fraudulentas aparentemente inofensivas que han logrado ocultar sus características (principalmente juegos o aplicaciones de escasa funcionalidad).

estas Aplicaciones troyanizadas buscan el control total de los teléfonos móviles por parte de ciberactores realizando tareas en segundo plano alojando diferentes características como los conocidos Keylogger que mantienen un comportamiento silencioso que captura las entradas de digitaciones en el teléfono móvil siendo direccionadas a los atacantes pudiendo visualizar y almacenar los datos bancarios entre muchos otros.

IOS

Por el lado de IOS si bien corresponde a código privado y los casos reportados en estos son significativamente menores y solo ejecutados por ciberactores más experimentados, no están libres de estos ataques y al igual que su contraparte apelan a la ingeniería social ya que dadas las medidas de seguridad de AppStore las publicaciones de aplicativos maliciosos que pasen los filtros son escasas.

No por esto resulta imposible de vulnerar ya que para diferentes versionamientos de IOS existen los llamados JailBreak que tras modificar el Código del sistema operativo permiten evadir restricciones impuestas por la marca y acceder a aplicativos gratuitos que originalmente requieren suscripción, lo que muchas veces conlleva a realizar configuraciones manuales en las que usuarios permiten el acceso remoto de terceros a la totalidad del dispositivo persuadidos con tal de acceder a llamativos servicios 

Actores principales

Entre los principales actores identificados es posible mencionar:

“Una vez instalado en el dispositivo, Vultur esconde su icono de aplicación y usa los servicios de accesibilidad de Android para conseguir los permisos necesarios para funcionar. Cuando se produce algún evento de accesibilidad, el malware comprueba si proviene de una aplicación de su lista de objetivos. Si es así comienza a registrar toda la información que el usuario introduce en la aplicación.

Además de dicho registro, Vultur usa un servidor VNC (Virtual Network Computing) local para obtener capturas de pantalla del dispositivo. Estas se envían, junto con las pulsaciones registradas, al CC. Para proporcionar acceso remoto al servidor VNC local, el malware se sirve de ngrok, un servicio que permite exponer a Internet servidores locales a través de túneles seguros.”

La víctima recibe vía SMS en nombre de una reconocida empresa que lo invita a descargar e instalar una aplicación maliciosa haciéndose pasar por un servicio legítimo, que tras ejecutar procesos que desactivan sistemas de seguridad alojando al malware capaz de robar contactos credenciales de banca móvil o directamente la información de la tarjeta bancaria junto con datos de contactos y enviando mensajes a los contactos para propagar su descarga.

Debido a la gran diversidad de herramientas que permiten automatizar la explotación de sistemas, es que nos encontramos en un ciber escenario complejo, donde la explotación de vulnerabilidades no requiere mayores destrezas de un atacante para poder ser explotadas.

De acuerdo con lo que hemos evidenciado en lo que va corrido de este año 2021, podemos orientar la apreciación para el sector financiero en:

  • Aumento y diversificación de ataques dirigidos a sistemas financieros por grupos cibercriminales locales e internacionales, sumando además las familias de troyanos brasileños que siguen buscando expandir sus operaciones globalmente.
  • Los actores de amenazas seguirán aprovechando la tendencia al teletrabajo y al aprendizaje remoto para centrar sus ataques en obtener información privada de sus víctimas a través de innovadoras técnicas de ingeniería social.
  • Utilización de técnicas relacionadas a la inteligencia artificial para orquestar campañas de desinformación y manipulación a través de las redes sociales, o propagación de códigos maliciosos.

Buenas prácticas para el cliente sector financiero:

  • Utilice contraseñas seguras y aplique la autenticación multifactor siempre que sea posible.
  • Active la función de actualización automática de software en su computadora, dispositivo móvil y otros dispositivos conectados siempre que sea posible y pragmático. 
  • Utilice un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, incluidos PC, portátiles y dispositivos móviles.    
  • Abstenerse de abrir enlaces y archivos adjuntos de correo electrónico que no sean de confianza sin verificar su autenticidad.
  • Realice prácticas de copia de seguridad periódicas y mantenga esas copias de seguridad fuera de línea o en una red separada.

Buenas prácticas para el proveedor sector financiero:

  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.