Symantec revela que decenas de bancos sufrieron ataques de malware a fines de 2016

Organizaciones en 31 países han sido blanco de una nueva ola de ataques que comenzaron desde por lo menos octubre de 2016

Organizaciones en 31 países han sido blanco de una nueva ola de ataques que comenzaron desde por lo menos octubre de 2016. Los atacantes utilizaron sitios web comprometidos o «agujeros de riego» para infectar objetivos pre-seleccionados con malware previamente desconocido. No se ha encontrado evidencia de que los fondos hayan sido robados de bancos infectados
Los ataques salieron a la luz cuando un banco en Polonia descubrió malware previamente desconocido que se ejecutaba en algunos de sus equipos. Fue entonces que el banco compartió indicadores de compromiso (COI) con otras instituciones y varias otras instituciones confirmaron que también habían sido comprometidas.

Según se informó, la fuente del ataque parece haber sido el sitio web del regulador financiero polaco. Los atacantes comprometieron el sitio web para redirigir a los visitantes a un kit de exploit que intentó instalar malware en los objetivos seleccionados.
Symantec ha bloqueado los intentos de infectar a clientes en Polonia, México y Uruguay por el mismo kit de exploits que infectó a los bancos polacos. Desde octubre se han bloqueado 14 ataques contra computadoras en México, 11 contra computadoras en Uruguay y dos contra computadoras en Polonia.

Kit de exploit personalizado

Los atacantes parecen estar utilizando sitios web comprometidos para redirigir a los visitantes a un exploit kit personalizado, que está pre-configurado para infectar a los visitantes de aproximadamente 150 direcciones IP diferentes. Estas direcciones IP pertenecen a 104 organizaciones de 31 países diferentes. La gran mayoría de estas entidades son bancos, sumadas a un pequeño número de empresas de telecomunicaciones y de Internet que también están en la lista.

1

¿Enlaces a Lazarus?

El malware utilizado en los ataques (Downloader.Ratankba) no estaba previamente identificado, aunque fue detectado por Symantec bajo firmas de detección genérica, diseñadas para bloquear cualquier archivo que se vea involucrado en actividades maliciosas.

El análisis del malware aún está en marcha. Algunas cadenas de código que se ven en el malware utilizan partes comunes con el código de malware utilizado por el grupo de amenazas conocido como Lazarus.

Ratankba fue visto poniéndose en contacto con el reloj de observación para las comunicaciones de mando y control (C y C). Ratankba fue entonces observado descargando un Hacktool. Este Hacktool muestra características distintivas compartidas con malware previamente asociado con Lazarus.

Además, Lazarus ha estado involucrado en ataques financieros de alto nivel antes y algunas de las herramientas utilizadas en el banco de Bangladesh comparten las similitudes de código con el malware utilizado en ataques históricos vinculados al grupo. También fue asociado a una serie de ataques agresivos desde 2009, centrados principalmente en objetivos en Estados Unidos y Corea del Sur.

Desde Symantec afirman que la investigación de estos ataques está en marcha y, con el tiempo, pueden surgir más pruebas sobre la identidad y los motivos de los atacantes. Después de una serie de ataques de alto perfil contra los bancos durante 2016, este último incidente es un recordatorio oportuno de la creciente gama de amenazas a las que se enfrentan las instituciones financieras.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *