Mes: octubre 2021

EXCLUSIVO: Los gobiernos le dan la vuelta a la pandilla de ransomware REvil al ponerlos fuera de línea

Editor YPT 28/10/2021

El grupo de ransomware REvil fue hackeado y obligado a desconectarse esta semana por una operación en varios países, según tres expertos cibernéticos del sector privado que trabajan con Estados Unidos y un ex funcionario.

Ex socios y asociados de la banda criminal liderada por Rusia fueron responsables de un ciberataque en mayo en el Oleoducto Colonial que provocó una escasez generalizada de gas en la costa este de Estados Unidos. Las víctimas directas de REvil incluyen al principal empacador de carne JBS (JBSS3.SA). El sitio web "Happy Blog" del grupo criminal, que se había utilizado para filtrar datos de víctimas y extorsionar a las compañías, ya no está disponible.

Los funcionarios dijeron que el ataque colonial utilizó un software de cifrado llamado DarkSide, que fue desarrollado por los asociados de REvil.

El jefe de estrategia de ciberseguridad de VMWare, Tom Kellermann, dijo que el personal policial y de inteligencia impidió que el grupo victimizara a otras compañías.

"El FBI, junto con el Comando Cibernético, el Servicio Secreto y países de ideas afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos", dijo Kellermann, asesor del Servicio Secreto de Estados Unidos en investigaciones de delitos cibernéticos. "REvil fue el primero de la lista".

Una figura de liderazgo conocida como "0_neday", que había ayudado a reiniciar las operaciones del grupo después de un cierre anterior, dijo que los servidores de REvil habían sido pirateados por una parte anónima.

"El servidor estaba comprometido y me estaban buscando", escribió 0_neday en un foro de delitos cibernéticos el fin de semana pasado y fue descubierto por primera vez por la firma de seguridad Recorded Future. "Buena suerte a todos; Estoy fuera".

Los intentos del gobierno de Estados Unidos de detener a REvil, una de las peores de las docenas de bandas de ransomware que trabajan con hackers para penetrar y paralizar empresas de todo el mundo, se aceleraron después de que el grupo comprometió a la compañía estadounidense de gestión de software Kaseya en julio.

Esa violación abrió el acceso a cientos de clientes de Kaseya a la vez, lo que llevó a numerosas llamadas de respuesta a incidentes cibernéticos de emergencia.

CLAVE DE DESCIFRADO

Tras el ataque a Kaseya, el FBI obtuvo una clave de descifrado universal que permitió a los infectados a través de Kaseya recuperar sus archivos sin pagar un rescate.

Pero los funcionarios encargados de hacer cumplir la ley inicialmente retuvieron la llave durante semanas mientras perseguía silenciosamente al personal de REvil, reconoció más tarde el FBI.

Según tres personas familiarizadas con el asunto, los especialistas cibernéticos de la policía y la inteligencia pudieron piratear la infraestructura de red informática de REvil, obteniendo el control de al menos algunos de sus servidores.

Después de que los sitios web que el grupo de hackers utilizó para realizar negocios se desconectaron en julio, el principal portavoz del grupo, que se hace llamar "Desconocido", desapareció de Internet.

Cuando el pandillero 0_neday y otros restauraron esos sitios web a partir de una copia de seguridad el mes pasado, sin saberlo, reinició algunos sistemas internos que ya estaban controlados por la policía.

"La banda de ransomware REvil restauró la infraestructura de las copias de seguridad bajo el supuesto de que no habían sido comprometidas", dijo Oleg Skulkin, subdirector del laboratorio forense de la compañía de seguridad liderada por Rusia Group-IB. "Irónicamente, la táctica favorita de la pandilla de comprometer a las copias de seguridad se volvió en su contra".

Las copias de seguridad confiables son una de las defensas más importantes contra los ataques de ransomware, pero deben mantenerse desconectadas de las redes principales o también pueden ser encriptadas por extorsionadores como REvil.

Un portavoz del Consejo de Seguridad Nacional de la Casa Blanca se negó a comentar específicamente sobre la operación.

"En términos generales, estamos llevando a cabo todo un esfuerzo de ransomware gubernamental, incluida la interrupción de la infraestructura y los actores de ransomware, trabajando con el sector privado para modernizar nuestras defensas y construyendo una coalición internacional para responsabilizar a los países que albergan a los actores de rescate", dijo la persona.

El FBI declinó hacer comentarios.

Una persona familiarizada con los eventos dijo que un socio extranjero del gobierno de los Estados Unidos llevó a cabo la operación de piratería que penetró en la arquitectura de computadoras de REvil. Un ex funcionario estadounidense, que habló bajo condición de anonimato, dijo que la operación sigue activa.

El éxito se deriva de la determinación de la fiscal general adjunta de Estados Unidos, Lisa Monaco, de que los ataques de ransomware en infraestructura crítica deben tratarse como un problema de seguridad nacional similar al terrorismo, dijo Kellermann.

En junio, el fiscal general adjunto adjunto principal, John Carlin, dijo a Reuters que el Departamento de Justicia estaba elevando las investigaciones de ataques de ransomware a una prioridad similar.

Tales acciones le dieron al Departamento de Justicia y otras agencias una base legal para obtener ayuda de las agencias de inteligencia de Estados Unidos y el Departamento de Defensa, dijo Kellermann.

"Antes, no podías hackear estos foros, y los militares no querían tener nada que ver con eso. Desde entonces, los guantes se han desprendido".

Fuente: https://www.reuters.com/technology/exclusive-governments-turn-tables-ransomware-gang-revil-by-pushing-it-offline-2021-10-21/

FIN7 recluta talento para introducirlo en ransomware

Editor YPT 24/10/2021

La inteligencia de este informe fue recopilada por una fuente que fue contratada por “Bastion Secure”. La investigación y el análisis de la información de la fuente de Gemini Advisory ha estado en curso durante los últimos meses. Aunque se ha eliminado información confidencial de este informe para proteger la fuente, Gemini Advisory ha proporcionado a las fuerzas del orden público el conjunto completo de información no redactada. Además, nuestros hallazgos fueron informados a nuestros clientes a principios de este mes y han sido corroborados por la presentación de Microsoft en Mandiant Cyber Defense Summit 2021.

Resultados clave

El grupo de ciberdelincuentes FIN7 ha sido responsable de campañas de robo de tarjetas a gran escala, lo que ha provocado la exposición de más de 20 millones de registros de tarjetas de pago, así como ataques de ransomware. Gemini ha descubierto que FIN7 ahora está ejecutando una nueva empresa falsa llamada "Bastion Secure", que reemplaza a la "Combi Security" informada anteriormente.
Bastion Secure ofreció una oferta de trabajo a una fuente de Gemini y, en el proceso, proporcionó a la fuente archivos que los analistas determinaron más tarde que eran para las herramientas de post-explotación Carbanak y Lizar / Tirion. Estas dos herramientas se han atribuido anteriormente a FIN7 y establecen el vínculo entre Bastion Secure y FIN7.
Las tareas que FIN7 asignó a la fuente de Gemini, que operan bajo la apariencia de Bastion Secure, coincidieron con los pasos tomados para preparar un ataque de ransomware, lo que proporciona más evidencia de que FIN7 ha continuado expandiéndose en la esfera del ransomware.
FIN7 puede pagar a "empleados" involuntarios mucho menos de lo que tendría que pagar a cómplices criminales informados por sus esquemas de ransomware. Sin embargo, la codicia de FIN7 también le dio a Gemini una visión de los datos patentados de este prolífico equipo de amenazas, lo que llevó a la exposición de otra empresa FIN7 falsa.

Fondo

El grupo de ciberdelincuentes FIN7 ganó notoriedad a mediados de la década de 2010 por sus campañas de malware a gran escala dirigidas a los sistemas de punto de venta (POS). En 2018, Gemini Advisory informó sobre el compromiso de FIN7 de las tiendas Saks Fifth Avenue y Lord & Taylor y la posterior venta de más de 5 millones de tarjetas de pago en la web oscura. Según el Departamento de Justicia de EE. UU., las campañas de tarjetas FIN7 más amplias han resultado en el robo de más de 20 millones de registros de tarjetas de pago y han costado a las víctimas más de mil millones de dólares, lo que convierte a FIN7 en uno de los grupos de ciberdelincuentes más infames y prolíficos de la última década. Ahora que el ransomware ha demostrado ser la empresa de premios gordos preferida de los ciberdelincuentes, FIN7 ha reasignado su experiencia y capacidad hacia el ransomware, con informes que indican que el grupo estuvo involucrado en intentos de ataques de ransomware contra empresas estadounidenses desde 2020. Además, a pesar del enfoque de la aplicación de la ley y el arresto de un administrador del sistema FIN7 en 2021, la actividad continua de FIN7 muestra que el grupo sigue siendo una amenaza poderosa y activa.

En 2018, el Departamento de Justicia de EE. UU. Reveló que FIN7 se hacía pasar por "Combi Security" , una empresa de ciberseguridad falsa, para involucrar a especialistas de TI inconscientes en sus campañas de tarjetas. Si bien el enfoque público en Combi Security cerró esa operación, Gemini ahora descubrió que FIN7 está utilizando una nueva compañía de ciberseguridad falsa llamada "Bastion Secure" para atraer a especialistas de TI inconscientes a respaldar su expansión continua hacia el ransomware.

A lo largo de la existencia de FIN7, las empresas de ciberseguridad se han referido a FIN7 con varios nombres, incluidos Carbanak, Carbon Spider, Anunak, Cobalt Gang y Navigator Group, y algunos profesionales optaron por subdividir la designación FIN7 según el tipo de destino. Si bien es probable que grupos de individuos superpuestos pero diferentes hayan realizado actividades maliciosas atribuidas a estos grupos de amenazas, el hilo unificador que conecta las firmas de ataque con FIN7 ha sido el uso del malware Carbanak .

Análisis

A una fuente de Gemini se le ofreció un puesto como especialista en TI en “Bastion Secure Ltd”, una “empresa” de ciberseguridad que busca programadores, administradores de sistemas e ingenieros inversos en C ++, Python y PHP. Una búsqueda básica de esta empresa arroja un sitio web de apariencia legítima (www [.] Bastionsecure [.] Com), pero el análisis reveló que se trata de una empresa de ciberseguridad ficticia dirigida por un grupo de ciberdelincuentes. Durante el proceso de entrevista, la fuente recibió varias herramientas para tareas de prueba que la fuente usaría si se empleara.

Gemini Advisory trabajó en conjunto con Recorded Future Insikt Group para analizar las herramientas proporcionadas por Bastion Secure y determinó que en realidad son componentes de los kits de herramientas posteriores a la explotación Carbanak y Lizar / Tirion, los cuales han sido previamente atribuidos al grupo FIN7 y pueden utilizarse tanto para infecciones del sistema POS como para ataques de ransomware.

Antes de 2020, el modus operandi principal de FIN7 era comprometer las redes de las empresas e infectar los sistemas POS con malware que roba tarjetas de crédito. Desde 2020, los investigadores de ciberseguridad han identificado casos en los que FIN7 obtuvo acceso a las redes de la empresa que luego se infectaron con el ransomware REvil o Ryuk . La participación exacta de FIN7 en el despliegue de ransomware, es decir, si vendieron el acceso a grupos de ransomware o si formaron una asociación con estos grupos, sigue sin estar clara. Sin embargo, las tareas que FIN7 asignó a la fuente de Gemini (que opera bajo la apariencia de Bastion Secure) coincidieron con los pasos tomados para preparar un ataque de ransomware, proporcionando más evidencia de que FIN7 se ha expandido a la esfera del ransomware.

Además, debido al uso de Carbanak y Lizar / Tirion por parte de Bastion Secure y la práctica establecida de FIN7 de usar compañías de ciberseguridad falsas para reclutar talentos, Gemini evalúa con gran confianza que FIN7 está usando la compañía ficticia Bastion Secure para reclutar especialistas de TI inconscientes para que participen en ataques de ransomware.

Imagen 1: Bastion Secure publica una oferta de trabajo para un administrador de red de Windows en el sitio de trabajo ruso superjob.ru .

En términos más generales, la decisión de FIN7 de utilizar una empresa de ciberseguridad falsa para contratar especialistas en TI para su actividad delictiva está impulsada por el deseo de FIN7 de contar con mano de obra calificada y comparativamente barata. Las ofertas de trabajo de Bastion Secure para puestos de especialistas en TI oscilaron entre $ 800 y $ 1,200 USD al mes, que es un salario inicial viable para este tipo de puesto en los estados postsoviéticos. Sin embargo, este “salario” sería una pequeña fracción de la porción de los beneficios criminales de un ciberdelincuente de una extorsión exitosa de ransomware o una operación de robo de tarjetas de pago a gran escala. En efecto, el esquema de empresa falsa de FIN7 permite a los operadores de FIN7 obtener el talento que el grupo necesita para llevar a cabo sus actividades delictivas, al tiempo que retienen una mayor participación de las ganancias.

El uso de FIN7 de Bastion Secure, incluso después del descubrimiento de Combi Security, la empresa de ciberseguridad falsa anterior del grupo, indica que FIN7 continúa creyendo que la contratación de especialistas de TI involuntarios es el mejor método del grupo para equilibrar la necesidad de un equipo técnicamente capacitado con la de los operadores. deseo de obtener los máximos beneficios.

Bastión seguro

Con la última empresa falsa de FIN7, Bastion Secure, el grupo delictivo aprovechó la información verdadera disponible públicamente de varias empresas legítimas de ciberseguridad para crear un fino velo de legitimidad en torno a Bastion Secure. En efecto, FIN7 está adoptando tácticas de desinformación para que si un posible empleado o una parte interesada verificara Bastion Secure, una búsqueda superficial en Google devolvería información "verdadera" para empresas con un nombre o industria similar a Bastion Secure de FIN7.

El primer paso de FIN7 para obtener un velo de legitimidad fue darle a su empresa falsa el nombre genérico "Bastion Secure", que parece similar a varias empresas adyacentes a la seguridad no relacionadas con resultados de búsqueda de Google altamente listados:

Bastion Security Products Ltd : una empresa de seguridad física estadounidense que fue adquirida recientemente por ECAMSECURE
Bastion Security Group : una empresa de consultoría de seguridad física de EE. UU.

En segundo lugar, Bastion Secure enumeró las direcciones de las oficinas de la empresa como:

16e Follingsby Ave, Gateshead, Reino Unido (antigua dirección de Bastion Security (North) Limited, cerrada desde entonces )
94 Yigal Alon St. Tower 1, Tel Aviv, Israel (edificio de oficinas que contiene varias empresas, incluida la empresa de seguridad de vehículos Cymotive )
Imperia Tower, 12 Presnenskaya Embankment, Moscú, 123100 Rusia (edificio de oficinas que contiene varias empresas). Gemini se puso en contacto con los administradores del edificio de la Torre Imperia, quienes confirmaron que no hay ninguna empresa llamada Bastion Secure con espacio para oficinas en el edificio.
Fortis Tower, 77-79 Gloucester Rd, Wan Chai, Hong Kong (edificio de oficinas que contiene varias empresas). Los administradores del edificio Fortis Tower no respondieron a las preguntas de Gemini; sin embargo, los registros públicos del " Centro de búsqueda cibernética del Registro de empresas " del gobierno de Hong Kong revelaron que no existe una empresa registrada denominada "Bastion Secure" que opere en Hong Kong.

Además, el sitio web de Bastion Secure también parece legítimo a primera vista; sin embargo, un análisis más profundo reveló que el sitio web es en gran parte una copia del sitio web de Convergent Network Solutions Ltd. , una empresa legítima de ciberseguridad. Además, el sitio web de Bastion Secure está alojado en el registrador de dominios ruso Beget, que los ciberdelincuentes suelen utilizar.

Imágenes 2-3: El sitio web de Bastion Secure (izquierda) es una copia del sitio web de Convergent Network Solutions Ltd. (derecha), una empresa legítima de ciberseguridad.

Imágenes 4-5: El sitio web de Bastion Secure (izquierda) enumera @CNS_Security como su cuenta de Twitter, que coincide con la cuenta de Twitter que figura en el sitio web de CNS (derecha).
Además, la oración de descripción de la página incluye texto directamente del sitio web de CNS.

Un análisis inicial del sitio web Bastion Secure reveló que la mayoría de los submenús del sitio devuelven un error HTTP 404 en ruso, lo que indica que los creadores del sitio eran hablantes de ruso. Desde el análisis inicial de Gemini, la mayoría de los submenús del sitio web se han corregido con las páginas adecuadas; sin embargo, un análisis más profundo reveló que algunos de los errores HTTP 404 permanecen sin corregir.

Imagen 6: Algunas páginas de Bastion Secure muestran un error 404 en ruso, lo que indica que los diseñadores del sitio son hablantes de ruso.

Como se muestra en la imagen a continuación, un análisis del código fuente de la página revela los restos del sitio de CNS: el código en Bastion Secure aún enumera el mismo número de teléfono que figura de manera prominente en la página de inicio de CNS .

Imagen 7: El código fuente de determinadas páginas se ha extraído directamente del sitio web de Convergent Network Solutions Ltd.

Para reclutar especialistas en TI, Bastion Secure publica ofertas de trabajo que parecen legítimas tanto en su sitio web como en sitios prominentes de búsqueda de empleo en los estados postsoviéticos, además de proporcionar contactos de buena reputación a posibles contrataciones para obtener mayor credibilidad. En los últimos meses, Bastion Secure ha publicado ofertas de trabajo para administradores de sistemas en sitios de búsqueda de trabajo y ha agregado nuevas vacantes para programadores e ingenieros inversos de PHP, Python y C ++ en su sitio web. En estos sitios de trabajo, Bastion Secure proporciona información suficientemente profesional para parecer legítima e incluye supuesta información de la oficina y un número de teléfono (+7 499-642-3420). La lista de sitios de trabajo legítimos de Rusia y Ucrania donde Bastion Secure tiene presencia y ha publicado ofertas de trabajo incluye:

Imagen 8: Página de la empresa de Bastion Secure en zoon.ru , un sitio de desarrollo empresarial que sirve a empresas rusas, solicitantes de empleo y consumidores.

FIN7, que opera bajo la apariencia de Bastion Secure, busca programadores (PHP, C ++, Python), administradores de sistemas e ingenieros inversos para crear un “personal” capaz de realizar las tareas necesarias para realizar una variedad de actividades delictivas cibernéticas. Dado el creciente interés de FIN7 en el ransomware, es probable que Bastion Secure busque específicamente administradores de sistemas porque una persona con este conjunto de habilidades podría:

Identifique los sistemas de las empresas comprometidas
Identificar usuarios y dispositivos dentro de los sistemas.
Localizar archivos y servidores de respaldo

Para que el administrador del sistema pueda trazar un mapa del sistema de una víctima, FIN7 primero deberá proporcionar a la persona acceso al sistema. Los operadores de FIN7 podrían obtener el acceso inicial a través de sus métodos bien documentados de phishing e ingeniería social o comprando el acceso en foros de la web oscura a un gran grupo de proveedores. Una vez que el administrador del sistema trazó el mapa del sistema e identificó las copias de seguridad, FIN7 podría escalar al siguiente paso en el proceso de infección de malware y ransomware. Gemini Advisory ha escrito anteriormente informes sobre cómo operan los equipos de ransomware y algunos de sus TTP .

Imágenes 9-11: Bastion Secure publica ofertas de trabajo para especialistas en TI en su sitio web.

Bastion Secure de FIN7 revela criminalidad durante el proceso de contratación

Una fuente de Gemini se puso en contacto con un “representante de recursos humanos” de Bastion Secure en un sitio de búsqueda de empleo, lo que llevó a un proceso de contratación en el que Bastion Secure compartió sus prácticas comerciales y el acceso a varias de sus herramientas. Gemini analizó estas herramientas para descubrir que en realidad eran las herramientas de post-explotación Carbanak y Lizar / Tirion. Dado que varios profesionales de la seguridad ya han atribuido estas herramientas y ataques de ransomware al grupo FIN7, el hecho de que los representantes de Bastion Secure hayan proporcionado a la fuente versiones encubiertas de estas herramientas de pos-explotación atribuibles establece un fuerte vínculo entre Bastion Secure y FIN7.

Primera etapa: proceso de entrevista

La primera etapa del proceso de contratación procedió de manera similar a un proceso de contratación de trabajo legítimo y no dio indicios de que Bastion Secure fuera una empresa falsa para un grupo de ciberdelincuentes. Primero, el representante de RR.HH. de Bastion Secure se comunicó con la fuente de Gemini y les informó que habían revisado el currículum de la fuente y estaban interesados en contratarlos como especialistas en TI.

Después de que la fuente indicó que estaban interesados en el puesto, la fuente realizó una típica entrevista de primera etapa con el representante de RR.HH. a través de mensajes en Telegram. Aunque muchas personas no criminales en los estados postsoviéticos usan Telegram como su aplicación de mensajería preferida, no es típico que las correspondencias profesionales iniciales se realicen en Telegram.

Después de completar las entrevistas, se informó a la fuente que necesitarían:

Completar varias tareas de prueba antes de comenzar a prueba.
Firmar un contrato y un acuerdo de confidencialidad.
Configure su computadora instalando varias máquinas virtuales y abriendo puertos

Segunda etapa: Tareas de práctica

A primera vista, la segunda etapa del proceso de contratación no dio una indicación clara de que Bastion Secure sea una operación ciberdelincuente. Sin embargo, las acciones tomadas más adelante en la tercera etapa claramente hicieron que las medidas tomadas en la segunda etapa fueran altamente sospechosas. La fuente recibió instrucciones para instalar ciertas plataformas y realizar una serie de asignaciones de práctica que serían típicas para el puesto.

Bastion Secure también informó a la fuente que estaban dispuestos a capacitar a los nuevos empleados en ciberseguridad. Cuando la fuente indicó que estaban interesados en aprender, la compañía les envió archivos adicionales que incluían herramientas que podrían usarse para pruebas de penetración legítimas o actividad maliciosa. Aunque las herramientas proporcionadas a la fuente eran potencialmente inusuales para el puesto, Bastion Secure lo introdujo proponiendo que capacitarían a la fuente no solo para administrar los sistemas del cliente, sino también para protegerlos, dando credibilidad al uso de estas herramientas.

Tercera etapa: la asignación "real" señala la intención delictiva

En la tercera etapa, Bastion Secure le dio a la fuente su primera asignación "real" y quedó claro de inmediato que la empresa estaba involucrada en una actividad delictiva. El hecho de que los representantes de Bastion Secure estuvieran particularmente interesados en los sistemas de archivos y las copias de seguridad indica que FIN7 estaba más interesado en realizar ataques de ransomware que en infecciones de POS.

Para la primera tarea, Bastion Secure proporcionó a la fuente de Gemini una “empresa cliente” en la que trabajar. La tarea habría sido utilizar un script para recopilar información sobre administradores de dominio, relaciones de confianza de dominio, recursos compartidos de archivos, copias de seguridad e hipervisores (el software responsable de crear y ejecutar máquinas virtuales). En este punto, la fuente comenzó a sospechar mucho de las actividades de Bastion Secure, y señaló las siguientes señales de alerta de antes en el proceso de contratación:

Bastion Secure proporcionó acceso a la red de la empresa sin ninguna documentación o explicación legal, lo que sugiere que el acceso puede haber sido adquirido a través de ingeniería social o comprado en la web oscura.
Bastion Secure solo estaba interesado en sistemas de archivos y copias de seguridad
La compañía advirtió sobre una fuerte multa si la fuente instalaba software antivirus en la máquina virtual que estaban usando.
Se requirió que el empleado usara herramientas específicas para evitar ser detectado
Bastion software Secure fue supuestamente licencia para “Checkpoint Software Inc”, que puede haber sido un intento de hacerse pasar el software como un producto de la compañía legítima Check Point Software Technologies Ltd . Los investigadores de seguridad han informado anteriormente que FIN7 también ha intentado hacer esto en el pasado.

Atribución

Gemini analizó los archivos que fueron enviados a la fuente por Bastion Secure y encontró que los archivos contenían componentes para las herramientas de post-explotación Carbanak y Lizar / Tirion. Las herramientas posteriores a la explotación, que forman parte del conjunto de herramientas de cualquier grupo de ransomware, permiten a los actores malintencionados controlar las computadoras infectadas después de haber obtenido el acceso inicial a la red de la empresa víctima. Varios profesionales de la seguridad han atribuido anteriormente el uso de Carbanak y Lizar / Tirion a FIN7. Estos dos factores indican que los operadores de FIN7 están compartiendo una versión parcialmente disfrazada de su kit de herramientas con cómplices involuntarios a través de la empresa falsa Bastion Secure.

Los archivos proporcionados a la fuente por Bastion Secure incluían archivos para un componente de software titulado “Command Manager” que era, de hecho, una versión encubierta del componente cliente de Carbanak (ver imagen 12). Gemini determinó esto analizando la funcionalidad del software y concluyó que es una versión actualizada de versiones previamente identificadas de Carbanak . Las principales funciones del administrador de comandos de Carbanak son recopilar información sobre una computadora infectada y obtener acceso remoto a la computadora infectada.

Imagen 12: Panel de control de Command Manager, que en realidad es un componente cliente disfrazado de Carbanak.

Los archivos contenían un script de PowerShell ofuscado que finalmente lanza el inyector y la carga útil de Lizar / Tirion. La función principal del cargador es recibir comandos periódicos del servidor C&C y ejecutar los comandos en la computadora infectada. Los comandos ejecutados por el cargador en la computadora infectada son "módulos" y los resultados se envían de vuelta al servidor C&C. Estos módulos pueden ser tipos de archivo .dll, .exe y .ps1.

Imagen 13: El operador de malware utiliza al cliente para enviar comandos al cargador, que se encuentra en la máquina infectada.

Conclusión

Aunque los ciberdelincuentes que buscan cómplices involuntarios en sitios de trabajo legítimos no es nada nuevo, la magnitud y la descaro con la que opera FIN7 continúan superando el comportamiento mostrado por otros grupos de ciberdelincuentes. FIN7 no solo busca víctimas involuntarias en sitios de trabajo legítimos, sino que también intenta ocultar su verdadera identidad como un grupo prolífico de ciberdelincuentes y ransomware mediante la creación de una presencia web fabricada a través de un sitio web de apariencia legítima, ofertas de trabajo profesionales y páginas de información de la empresa. en sitios de desarrollo empresarial en ruso.

La decisión de FIN7 de contratar cómplices involuntarios, en lugar de encontrar cómplices dispuestos en la web oscura, probablemente se deba a la codicia. Con cómplices dispuestos, FIN7 se vería obligada a compartir un porcentaje de los pagos de rescate por un total de millones de dólares, mientras que los “empleados” involuntarios trabajarían por salarios mensuales de miles de dólares, proporcionales a los mercados laborales de los estados postsoviéticos. Sin embargo, la codicia de FIN7 también le dio a Gemini una visión de las herramientas patentadas de este prolífico equipo de amenazas, así como la exposición de otra empresa falsa de FIN7.

Declaración de la misión de asesoría de Géminis

Gemini Advisory proporciona inteligencia procesable contra el fraude a las organizaciones financieras más grandes en un esfuerzo por mitigar los crecientes riesgos cibernéticos. Nuestro software patentado utiliza soluciones asimétricas para ayudar a identificar y aislar los activos objetivo de los estafadores y delincuentes en línea en tiempo real.

Fuente: https://geminiadvisory.io/fin7-ransomware-bastion-secure/?cf_chl_jschl_tk=pmd_kD.7y.iop1ndojhVSAvJDl4Lhw.LgK6Rw8MsKrHzx64-1634998425-0-gqNtZGzNAjujcnBszQil

Experto en ciberseguridad da 6 consejos para evitar ser víctimas de robos digitales

Editor YPT 22/10/2021

No uses redes de internet públicas para hacer transacciones, monitorea tu extracto periódicamente y ten una cuenta exclusiva para ahorros, son algunos de los consejos que da el experto

Frente a la denuncia de al menos 16 personas de sufrir un robo a través de la banca digital del Banco Unión, quedan dudas sobre la seguridad en éstas plataformas y qué cuidados se deben tener para mantenerlas a buen recaudo.

Bolivia Verifica habló con el ingeniero en sistemas de la empresa de ciberseguridad Yanapi SRL, Guido Rosales, para conocer las medidas que pueden asumir los usuarios de banca digital para no ser víctimas de robos. Aquí te dejemos los seis concejos que compartió el experto:

https://yanapti.com/wp-content/uploads/2021/10/videoplayback-1.mp4

1. Ten dos cuentas: una para pagos diarios y otra para tus ahorros

Rosales explicó que en el tema de seguridad se recomienda que los usuarios tengan dos cuentas, una donde se encuentren sus ahorros y otra a través de la que operen sus compras digitales, pagos de servicios y uso de cajeros automáticos (ATM).“Les recomendamos hacer lo que hacemos en la vida diaria, nadie sale con todos sus ahorros a la calle, entonces tengan dos cuentas en dos bancos separados uno para ahorros (cuenta ahorradora), otra para pagos diarios (cuenta pagadora). Ésa es una medida inicial, así el defraudador difícilmente va llegar a la cuenta ahorradora”, apuntó.
Es decir, el usuario debe mantener la cuenta ahorradora únicamente con el fin de resguardar el dinero que deposita y no realizar ni pagos a otras cuentas ni transferencias a través de esta. Mientras que en la otra cuenta de operaciones deberá manejar únicamente el saldo que use para pagos diarios y, además, en esta podrá habilitar beneficiarios para transferencias.

“Entonces si alguien atacara a la cuenta que conocen, van a llegar solo al saldo de esa cuenta pagadora, entonces vas ser muy difícil que lleguen a la cuenta ahorradora”

2. No te confíes en el “candadito” de los links de compras digitales

El ingeniero indicó que los usuarios no deben confiarse en “el candadito” que se muestra al lado de los vínculos de las compras online, porque puede ser una “pantalla” de un sitio fraudulento. “Hay formas de ataque, aunque tengan el URL adentro de esa dirección se transforma en otra IP internamente puede que eso cambie”. Se debe verificar que se trate de un sitio oficial, realizando una navegación completa.

3. Haz uso del “Soft Token”

Rosales recomendó el uso del “Soft Token” esta es una opción que se puede habilitar en el servicio de compras digitales. La misma permite que cuando se realiza algún tipo de transferencia se envíe un código de seis números al celular del usuario para confirmar la misma. “El soft token es una buena medida, porque si alguien le roba su contraseña (del servicio de banca digital) esa contraseña es estática, pero el pin es dinámico”, apuntó.

4. No te conectes a redes de wifi públicas cuando hagas transacciones

Rosales explicó que para evitar ser víctimas de un robo digital, se recomienda que los usuarios no realicen transacciones cuando están conectados a una red de wifi público (por ejemplo, la plaza, un restaurante, eventos, entre otros). “Si pensamos que estos casos van a ir a fiscalía, se van a pedir los IPS (número que identifica la conexión de un dispositivo a una red interna o externa) de las transacciones, ahora si tienen muchas transacciones van a tener muchos IPS pero si se conecta de su domicilio eso disminuye la posibilidad de ser interceptados”.

5. Monitorea tus cuentas bancarias

Otro método de control de las cuentas es realizar un monitoreo constante. Sobre esto, Rosales dijo que existen diversas medidas. “La mayor parte de las plataformas digitales de bancos tienen monitores sobre los movimientos diarios y sobre los límites. Entonces si algo se mueve por encima de eso se mandan las alertas, o puedo pedir que no se pase de un límite”. Apuntó que la mayoría de estas alertas se dan por correo electrónico, así que se deben mantener activos y revisarlos constantemente.

6. Si sufres un robo, realiza tu denuncia de manera inmediata ante el Ministerio Público

Rosales recomendó que ante cualquier robo digital que sufra el usuario debe hacer de manera inmediata la denuncia ante el Ministerio Público. “Rápidamente se debe empezar un proceso porque la entidad financiera tardará en responder y mientras se debe avanzar”, añadió.
Por otra parte, el experto comentó que en Bolivia no se cuenta con la cobertura de seguros para robos en banca digital, sino que solo cubren los que se dan a través de cajeros automáticos. “Si esto tuviera la cobertura no tendríamos tanto problema”, concluyó.

Fuente: https://boliviaverifica.bo/experto-en-ciberseguridad-da-6-consejos-para-evitar-ser-victimas-de-robos-digitales/