Hackers de plantas de energía podrían estar detrás de una oleada de ataques a bancos ucranianos

Un grupo de hackers que se dio a conocer como “TeleBots” ha estado lanzando una oleada de ataques virtuales a bancos ucranianos con métodos similares a los que el grupo “Black Energy” empleó en 2015 para atacar a las plantas de energía del mismo país.

Los atacantes han estado inundando los bancos ucranianos con correos electrónicos fraudulentos que incluyen un documento de Excel con macros maliciosos. El documento infecta el equipo con un programa malicioso que, al ejecutarse, se infiltra en la red del banco para robar o destruir documentos, contraseñas y cualquier archivo que les interese. El ataque termina mostrando un logo de la serie Mr. Robot en los equipos comprometidos.

“La función principal del macro es descargar un binario malicioso usando el filename explorer.exe y después ejecutarlo. El binario pertenece a una familia de troyanos descargadores de programas que tienen como propósito principal descargar y ejecutar otro programa malicioso. El troyano está escrito en el lenguaje de programación Rust”, explicó la compañía de seguridad ESET, que analizó la amenaza e informó sobre sus peligros.

A pesar de que el ataque del año pasado estuvo dirigido a plantas de energía y tuvo un objetivo completamente distinto, los expertos de ESET han encontrado muchas similitudes con los recientes ataques a bancos, en especial en cuanto a las herramientas y técnicas que se utilizaron. En particular, llamó la atención que el código macro que se utilizó en ambos ataques es muy similar, por lo que los analistas de ESET creen que es posible que exista un vínculo estrecho entre los grupos de hackers TeleBots, responsables de este ataque, y BlackEnergy, responsable de los ataques de 2015.

Sin embargo, no todos los expertos están de acuerdo con que haya información suficiente para relacionar a ambos grupos de hackers. Tim Erlin, Director de administración de productos de Tripwire, comentó: “aunque el análisis indica que esta operación de malware ha atacado al sector financiero, hay muy poca información sobre cómo se llegó a esa conclusión específica. La relación entre TeleBots y Black Energy no está del todo clara. Existen algunas conexiones demostrables de herramientas y técnicas, pero es difícil decir si los atacantes son la misma gente, parte de una comunidad que comparte herramientas o sólo reciben su malware de la misma fuente. Los aspectos de phishing de estos ataques no son sofisticados ni novedosos”.

Fuentes

The Register

Softpedia

Security Buzz

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *