News

Hackers de plantas de energía podrían estar detrás de una oleada de ataques a bancos ucranianos

Un grupo de hackers que se dio a conocer como “TeleBots” ha estado lanzando una oleada de ataques virtuales a bancos ucranianos con métodos similares a los que el grupo “Black Energy” empleó en 2015 para atacar a las plantas de energía del mismo país.

Los atacantes han estado inundando los bancos ucranianos con correos electrónicos fraudulentos que incluyen un documento de Excel con macros maliciosos. El documento infecta el equipo con un programa malicioso que, al ejecutarse, se infiltra en la red del banco para robar o destruir documentos, contraseñas y cualquier archivo que les interese. El ataque termina mostrando un logo de la serie Mr. Robot en los equipos comprometidos.

“La función principal del macro es descargar un binario malicioso usando el filename explorer.exe y después ejecutarlo. El binario pertenece a una familia de troyanos descargadores de programas que tienen como propósito principal descargar y ejecutar otro programa malicioso. El troyano está escrito en el lenguaje de programación Rust”, explicó la compañía de seguridad ESET, que analizó la amenaza e informó sobre sus peligros.

A pesar de que el ataque del año pasado estuvo dirigido a plantas de energía y tuvo un objetivo completamente distinto, los expertos de ESET han encontrado muchas similitudes con los recientes ataques a bancos, en especial en cuanto a las herramientas y técnicas que se utilizaron. En particular, llamó la atención que el código macro que se utilizó en ambos ataques es muy similar, por lo que los analistas de ESET creen que es posible que exista un vínculo estrecho entre los grupos de hackers TeleBots, responsables de este ataque, y BlackEnergy, responsable de los ataques de 2015.

Sin embargo, no todos los expertos están de acuerdo con que haya información suficiente para relacionar a ambos grupos de hackers. Tim Erlin, Director de administración de productos de Tripwire, comentó: “aunque el análisis indica que esta operación de malware ha atacado al sector financiero, hay muy poca información sobre cómo se llegó a esa conclusión específica. La relación entre TeleBots y Black Energy no está del todo clara. Existen algunas conexiones demostrables de herramientas y técnicas, pero es difícil decir si los atacantes son la misma gente, parte de una comunidad que comparte herramientas o sólo reciben su malware de la misma fuente. Los aspectos de phishing de estos ataques no son sofisticados ni novedosos”.

Fuentes

The Register

Softpedia

Security Buzz

Hackers de plantas de energía podrían estar detrás de una oleada de ataques a bancos ucranianos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada