Silence, un grupo de amenazas APT de habla rusa, ha expandido significativamente su geografía, aumentado además, la frecuencia de sus ataques. Sumado a ello, la cantidad total confirmada de fondos recaudados por Silence ha sido multiplicada por cinco, se estima que las ganancias llegan a los USD 4.2 millones.
Los expertos a cargo de la investigación establecen un vínculo entre Silence y el grupo TA505, que Silence ha realizado una serie de cambios en sus TTPs (tácticas, técnicas y procedimientos) y a su vez, mejorado su arsenal, como resultado de estar en el centro de atención de los investigadores de seguridad durante algún tiempo.
Dentro de las herramientas utilizadas, esta un nuevo agente de PowerShell, llamado EmpireDNSAgent (EDA), que proviene del framework Empire recientemente abandonado y también hacen uso del proyecto dnscat2, un túnel DNS.
En abril de 2018, los intereses de Silence se limitaban a solo 25 estados post-soviéticos y países vecinos. Ya en septiembre de 2018, se han detectado al menos 16 nuevas campañas dirigidas a bancos impulsadas por Silence. Ahora en 2019, el grupo ha infectado estaciones de trabajo en más de 30 países de Europa, América Latina, África y Asia, el daño total confirmado ha aumentado en más de cinco veces como se mencionaba anteriormente, de solo USD 800.000 a USD 4.2 millones. Otros ataques exitosos recientes atribuidos a Silence fueron detectados en India (agosto de 2018), Rusia (febrero de 2019, el "Banco de TI" ruso), Kirguistán (mayo de 2019), Rusia (junio de 2019), Chile, Ghana, Costa Rica y Bulgaria (julio de 2019). Los cibercriminales se sienten particularmente enfocados en Asia, que es donde Silence realizó una de sus mayores campañas hasta la fecha.
Como la mayoría de los grupos de delitos informáticos, Silence utiliza correos electrónicos de phishing. Inicialmente, el grupo utilizó servidores pirateados y cuentas comprometidas para sus campañas. Más tarde, los delincuentes comenzaron a registrar dominios de phishing, para lo cual crearon certificados autofirmados, diseñando correos electrónicos falsos muy bien elaborados que generalmente pretenden suplantar empleados bancarios. Para llevar a cabo sus campañas de phishing, los piratas informáticos alquilan servidores en Rusia y en los Países Bajos, también utilizan servicios de alojamiento de una empresa con sede en Ucrania para alquilar servidores con el propósito de ser utilizados como servidores de C&C (Comando y Control).
En sus primeras operaciones, Silence utilizó un backdoor de terceros llamado Kikothac, lo que deja en claro que el grupo comenzó su actividad sin ninguna preparación. Más tarde, el desarrollador del grupo creó un conjunto de herramientas para ataques dirigidos al procesamiento de tarjetas y cajeros automáticos, Silence, un framework para ataques de infraestructura, Atmosphere, un conjunto de herramientas de software para ataques en cajeros automáticos, y Farse, una herramienta para obtener contraseñas de una computadora comprometida.
REFERENCIA
COMENTARIOS