Investigadores de CyberInt Research identificaron nuevas actividades por parte del grupo de hackers TA505 de origen ruso, dirigida a instituciones financieras en Chile. Según la compañía, continúan con su "uso no autorizado e infalible de las mismas TTP de software legítimo, aprovechando esta vez el instalador de MSI para implementar la familia de malware AMADAY".
La instalación de AMADAY permite a los actores (ciberdelincuentes) robar la correspondencia de correo electrónico e información confidencial de los clientes de las instituciones financieras y minoristas. Esto les permite, además, robar listas de contactos, lo que les permite dirigirse a otras organizaciones mediante el envío de correos electrónicos maliciosos (Phishing) aparentemente legítimos que parecen provenir de fuentes confiables.
TA505 ha estado activo desde 2014, con campañas de correo electrónico malintencionado "Phishing" de gran volumen que distribuyen los troyanos bancarios Dridex y Shifu, así como el botn / exploit Neutrino y el ransomware Locky. Aparecieron nuevamente como la fuente de los recientes ataques contra la industria financiera y minorista global desde diciembre de 2018 hasta el presente, con ataques en todo el mundo, incluidos India, Italia, Malawi, Pakistán, Corea del Sur y los Estados Unidos.
"El TA505 está altamente motivado, es muy inteligente y persistente", dice Adi Peretz, jefa de investigación de CyberInt. "Es crítico monitorear sus actividades para anticipar nuevos ataques. Una vez que se identificó el patrón de ataques en Chile, otras instituciones financieras pueden reforzar su seguridad, para que no terminen siendo violadas o conocido como un data breach".
La ingeniería social funciona porque recluta el eslabón más débil en cualquier operación de ciberseguridad, nosotros los humanos. Mientras más preparadas estén las empresas, mejor podrán capacitar a sus empleados para mantener la seguridad.
En abril de 2019, Infosecurity Magazine informó que TA505 estaba usando una herramienta de administración remota TektonIT para dirigirse a instituciones financieras y minoristas. CyberInt descubrió que la herramienta era "virtualmente indetectable" por los sistemas de protección contra amenazas debido a que era "software legítimo".
Los patrones de ataque probados y comprobados parecen ser consistentes en estas campañas observadas recientemente y comienzan con la entrega de correos electrónicos de suplantación de identidad (phishing) que tienen archivos adjuntos atractivos, según un informe de CyberInt. Utilizando logotipos legítimos, lenguaje y terminología coherentes con las interacciones comerciales comunes o la organización objetivo, el correo electrónico alienta a la posible víctima a abrir el documento adjunto del señuelo, que a su vez les indica que deshabiliten los controles de seguridad dentro de Microsoft Office para permitir que se ejecute una macro la cual es nefasta.
Visión
Por otro lado, errores que comenten las instituciones financieras e impuestos internos es encomendar a terceros sus encuestas para conocer del cliente su opinión y así mejorar sus servicios, el punto es que; un tercero envía un correo con la base de datos que la institución financiera o impuestos internos les entregó y esta a su vez envía un correo con una encuesta directamente, aquí es donde los actores (ciberdelincuentes) pueden suplantar estos dominios y engañar a los clientes (usuarios) para que respondan la encuesta y la sorpresa será que al hacer clic en el link descargarán un malware. Esto se puede evitar señalando desde el mismo dominio de la institución que realizarán una encuesta y que será realizada por tal o cual empresa en tal día, así se reduce el riesgo de víctima de phishing.
Para Inntesec es clave asesorar a las organizaciones en esta materia, le invitamos que conozca "Cómo Protegerse del Ransomware" en el siguiente artículos para tomar medidas prácticas en su empresa y como persona natural.
https://www.inntesec.com/blog/sepa-cómo-protegerse-del-ransomware
Descargue la herramienta de Simulación de Ransomware en: https://info.knowbe4.com/ransomware-simulator-tool-1
Para recibir una visita de Inntesec y conocer el Security Awareness Program que incorpora:
Charlas Presenciales de Concientización en Ciberseguridad.
Programa eLearning de Ciberseguridad.
Plataforma Simulación de Ataques de Ethical Phishing.
Visítenos en nuestro sitio web https://www.inntesec.com o bien escríbanos a info@inntesec.com.
Fuente: Infosecurity, Inntesec