MoneyTaker grupo cibercriminal que robó con éxito de más de € 10.000.000 @GrupoIB_GIB

Las operaciones de un grupo de ataque dirigido de habla rusa denominado MoneyTaker fue puesto al descubierto por Group-IB, el proveedor de inteligencia sobre amenazas de alto impacto y soluciones anti fraudes, en un informe que detalla.

En menos de dos años, este grupo ha llevado a cabo más de 20 ataques exitosos contra instituciones financieras y empresas legales en los Estados Unidos, el Reino Unido y Rusia.
El grupo se ha enfocado principalmente en sistemas de procesamiento de tarjetas, incluido AWS CBR (Russian Interbank System) y supuestamente SWIFT (EE. UU.).

Dado el amplio uso de STAR en LATAM, las instituciones financieras en LATAM podrían estar particularmente expuestas a un posible interés del grupo MoneyTaker.
A pesar de que el grupo ha tenido éxito al apuntar a una serie de bancos en diferentes países, hasta la fecha no han sido denunciados.

Además de los bancos, el grupo MoneyTaker ha atacado a las firmas de abogados y también a los proveedores de software financiero.

20 ataques confirmados
En total, Group-IB ha confirmado que 20 compañías son víctimas de MoneyTaker, con 16 ataques contra organizaciones estadounidenses, 3 ataques contra bancos rusos y 1 en el Reino Unido.
Al cambiar constantemente sus herramientas y tácticas para eludir los antivirus y las soluciones de seguridad tradicionales y, lo que es más importante, eliminar cuidadosamente sus rastros después de completar sus operaciones, el grupo ha pasado desapercibido.
"MoneyTaker utiliza herramientas disponibles públicamente, lo que hace que el proceso de atribución e investigación sea un ejercicio no trivial", dice Dmitry Volkov, cofundador del Grupo IB y jefe de inteligencia de la compañía.

"Además, los incidentes ocurren en diferentes regiones del mundo y al menos uno de los bancos de los EE. UU. Tenía documentos exfiltrados con éxito de sus redes, en dos ocasiones.
Los especialistas de Group-IB esperan nuevos robos en el futuro cercano y para reducir este riesgo, Group-IB desea contribuir con un informe identificando las herramientas de hackers, las técnicas y los indicadores de compromiso que atribuimos a las operaciones de MoneyTaker ".

Ataques de MoneyTaker: pasado, presente y futuro
El primer ataque en los Estados Unidos que Group-IB atribuye a este grupo se llevó a cabo en la primavera de 2016: el dinero fue robado del banco al obtener acceso al portal de operador de red "STAR" de First Data.

Desde entonces, el grupo atacó compañías en California, Utah, Oklahoma, Colorado, Illinois, Misuri, Carolina del Sur, Carolina del Norte, Virginia y Florida.
En 2016, Group-IB identificó 10 ataques efectuados por MoneyTaker; 6 ataques contra bancos en los EE. UU., 1 ataque contra un proveedor de servicios de EE. UU., 1 ataque contra un banco en el Reino Unido y 2 ataques contra bancos rusos. Solo un incidente que involucró a un banco ruso fue identificado y prevenido rápidamente por Group-IB.
En 2017, la cantidad de ataques se mantuvo igual con 8 bancos estadounidenses, 1 estudio de abogados y 1 banco en Rusia. La geografía, sin embargo, se ha reducido a solo EE. UU. Y Rusia, por ahora.

Group-IB Threat Intelligence
Utilizando el sistema Group-IB Threat Intelligence, los investigadores del Group-IB descubrieron conexiones entre los 20 incidentes durante 2016 y 2017.
Las conexiones se identificaron no solo en las herramientas utilizadas, sino también en la infraestructura distribuida, componentes de uso único, como el toolkit utilizado en el ataque por el grupo y esquemas de retiro específicos - usando cuentas únicas para cada transacción.
Otra característica distintiva de este grupo es que se quedan después del evento, siguen espiando a una serie de bancos afectados y envían correos electrónicos corporativos y otros documentos a los servicios de correo electrónico gratuitos de Yandex y Mail.ru en el formato first.last@yandex.com .

Hallazgos importantes que permitieron a Group-IB descubrir los vínculos entre crímenes incluyen herramientas de escalada de privilegios compiladas en base a códigos presentados en la conferencia rusa de seguridad cibernética ZeroNights 2016.
Además, en algunos incidentes, los piratas informáticos utilizaron los troyanos bancarios Citadel y Kronos. Este último se utilizó para entregar malware de punto de venta (POS) denominado ScanPOS.

Infraestructura de Ataque
Al analizar la infraestructura de ataque, Group-IB identificó que el grupo exfiltra continuamente la documentación bancaria interna para aprender sobre las operaciones bancarias en preparación para futuros ataques.
Los documentos exfiltrados incluyen: guías de administración, regulaciones e instrucciones internas, formularios de solicitud de cambios, registros de transacciones, etc.
Group-IB está investigando una serie de incidentes con documentos copiados que describen cómo realizar transferencias a través de SWIFT.

América Latina
El contenido y geografía indican que los bancos en América Latina pueden ser el próximo objetivo de MoneyTaker.
Group-IB ha proporcionado a Europol e Interpol información detallada sobre el grupo MoneyTaker para futuras actividades de investigación como parte de nuestra labor constante en la lucha contra el cibercrimen.

MoneyTaker: arsenal de ataques
Group-IB informa que MoneyTaker usa tanto sus herramientas de terceros como las propias. Por ejemplo, para espiar a los operadores bancarios, desarrollaron una aplicación con capacidades de "captura de pantalla" y "capturador de pulsaciones".
Este programa está diseñado para capturar las pulsaciones de teclas, tomar capturas de pantalla del escritorio del usuario y obtener contenidos del portapapeles.

La aplicación se compila en Delphi y contiene 5 temporizadores:
Las funciones de la aplicación (como tomar capturas de pantalla, capturar las teclas, deshabilitarse) se ejecutan una vez que se dispara el temporizador.
Para evitar el antivirus y el análisis de muestras automatizado, los piratas informáticos nuevamente usaron 'medidas de seguridad': implementaron la función anti emulación en el código del temporizador.
En un ataque a un banco ruso a través de AWS CBR, los piratas informáticos utilizaron una herramienta llamada MoneyTaker v5.0, por la cual se le atribuye el nombre al grupo cibercriminal.
Cada componente de este programa modular realiza una determinada acción: busca las órdenes de pago y las modifica, reemplaza los detalles de pago originales por fraudulentos y luego borra los rastros.

Éxito cibercriminal
El éxito del reemplazo se debe al hecho de que en esta etapa la orden de pago aún no se ha firmado, lo que ocurrirá después de que se reemplacen los detalles del pago.
Además de ocultar las pistas, el módulo de ocultación vuelve a sustituir los detalles de pago fraudulentos en un aviso de débito después de la transacción con los originales.
Esto significa que la orden de pago se envía y acepta para su ejecución con los detalles de pago fraudulentos, y las respuestas aparecen como si los detalles de pago fueran los iniciales. Esto les da a los ciberdelincuentes tiempo extra para inmovilizar fondos antes de que se detecte el robo.

Sin dejar rastro
Para realizar ataques dirigidos, MoneyTaker utiliza una infraestructura distribuida que es muy difícil de rastrear.
Una característica única de la infraestructura es un servidor de persistencia, que entrega cargas útiles solo a las víctimas con una dirección IP en la lista blanca de MoneyTaker.
Para controlar la operación completa, MoneyTaker utiliza un servidor de marco de Pentest.
En él, los piratas informáticos instalan una herramienta legítima para las pruebas de penetración:

Metasploit
Después de infectar con éxito una de las computadoras y obtener acceso inicial al sistema, los atacantes realizan un reconocimiento de la red local para obtener privilegios de administrador de dominio y, finalmente, consolidar el control de la red.
Los hackers usan Metasploit para realizar todas estas actividades: reconocimiento de redes, búsqueda de aplicaciones vulnerables, vulnerabilidades de vulnerabilidades, escalar privilegios de sistemas y recopilar información.

Malware "sin archivos"
El grupo usa malware "sin archivos" que solo existe en la memoria RAM y se destruye después del reinicio.
Para garantizar la persistencia en el sistema, MoneyTaker se basa en las secuencias de comandos de PowerShell y VBS; son difíciles de detectar por el antivirus y fáciles de modificar. En algunos casos, han realizado cambios en el código fuente 'sobre la marcha' - durante el ataque, lo cual es una clara muestra del amplio dominio de ingeniería que el equipo cibercriminal dispone.
Después de una infección exitosa, borran cuidadosamente los rastros de malware. Sin embargo, cuando investigamos un incidente en Rusia, logramos descubrir el punto inicial de compromiso: los hackers penetraron en la red interna del banco al obtener acceso a la computadora del administrador del sistema del banco.
Además, para evitar que las comunicaciones de C & C sean detectadas por los equipos de seguridad, MoneyTaker emplea certificados SSL generados con nombres de conocidas marcas: Bank of America, Federal Reserve Bank, Microsoft, Yahoo, etc.), en lugar de llenar los campos al azar.
En los Estados Unidos, utilizaron la solución LogMeIn Hamachi para acceso remoto.

Ataques al procesamiento de la tarjeta
El primer ataque al procesamiento de tarjetas de crédito que los especialistas del Group-IB atribuyen a este grupo se realizó en mayo de 2016.
Al acceder a la red bancaria, los atacantes pusieron en peligro la estación de trabajo de los operadores de portal de red STAR de First Data, realizando los cambios necesarios y retirando el dinero.

En enero de 2017, el ataque se repitió en otro banco.
El esquema es extremadamente simple. Después de tomar el control de la red del banco, los atacantes comprueban si pueden conectarse al sistema de procesamiento de la tarjeta.
Después de esto, legalmente abren o compran tarjetas del banco cuyo sistema informático previamente ha pirateado.

Las mulas de dinero (delincuentes que retiran dinero de los cajeros automáticos) con tarjetas previamente activadas se fueron al extranjero y esperaron a que comenzara la operación.
Después de ingresar al sistema de procesamiento de tarjetas, los atacantes eliminaron o aumentaron los límites de retiro de efectivo para las tarjetas que tenían las mulas.
Eliminaron los límites de sobregiro, lo que permitió sobregirar incluso con tarjetas de débito.
Con estas tarjetas, las mulas retiraron efectivo de los cajeros automáticos, uno por uno.
La pérdida promedio causada por un ataque fue de aproximadamente 500.000.- dólares estadounidenses

About Group-IB

With over 14 years of digital forensic and investigation experience, Group-IB has built a global threat intelligence gathering network spreading on 6 continents. It helps major corporations respond and react to the most sophisticated cyber-threats while making more informed decisions about their cyber security posture. Group-IB's network defense, anti-fraud and intellectual property protection solutions are all based on Group-IB's unmatched threat intel recognized by Gartner, Forrester and IDC.

No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.