1

Decenas de bancos sufrieron ataques de nuevos malware en 2016

Symantec revela que ciberatacantes intentaron infectar más de 100 organizaciones en más de 31 países, incluidos Colombia, México, Brasil y Uruguay.

Symantec reveló que organizaciones de 31 países desde octubre del año pasado, fueron blanco de una nueva ola de ataques. Los cibercriminales usaron sitios web comprometidos “watering holes”  o “agujeros de riego” para infectar con malware desconocido, objetivos  previamente seleccionados.

Estos ataques fueron identificados, cuando un banco en Polonia descubrió  la presencia de un malware desconocido, corriendo en varios de sus computadores. Ante esto, el banco en forma rápida compartió indicadores de compromiso con otras entidades, las cuales descubrieron que sus equipos también habían sido blanco del mismo malware,

Acorde a lo reportado, al parecer la fuente de los ataques proviene del  sitio web del ente regulador financiero de Polonia. Los  atacantes comprometieron este sitio, redirigiendo a los visitantes a  un “exploit kt” que trató de instalar el malware en objetivos determinados.

Colombia, México, Uruguay, Brasil, Chile y Venezuela con intentos de ataques

Symantec ha bloqueado intentos de ataques a clientes en Latinoamérica con el mismo “exploit kit” que afectó a los bancos de Polonia. Desde  el pasado mes de octubre, se han bloqueado  diversos ataques, entre estos tres en Colombia, 14 en México, 11 en Uruguay, cinco en Brasil y Chile y tres en Venezuela.

Exploit kit personalizado

Los atacantes, al parecer están utilizando sitios web comprometidos para redireccionar a los visitantes a un “Exploit Kit” personalizado, para infectar 150 direcciones IP diferentes que pertenecen a 104 organizaciones de 31 países, las cuales en su mayoría son bancos y unas cuantas empresas de telecomunicaciones e Internet.

Figura 1. Países en los que tres o más organizaciones fueron objetivo de atacantes.

Enlaces  con Lazarus?

El malware usado en los ataques (Download. Ratankba) no era conocido, aunque fue identificado por Symantec bajo firmas de detección genérica, diseñadas para bloquear  cualquier tipo de archivo relacionado con actividades maliciosas.

Si bien, el análisis aún está en desarrollo; algunas secuencias de la cadena de código de este malware comparten puntos comunes con el grupo de amenazas conocido como Lazarus.

 

Este grupo está asociado a una serie de ataques agresivos desde 2009, principalmente en Estados Unidos, la Unión Europea y Corea del Sur. Igualmente, Lazarus está involucrado en ataques financieros de alto nivel. Algunas de sus herramientas usadas en un asalto a un banco en Bangladesh, comparten similitudes  de código con ataques asociados a este grupo.

Symantec afirma que las investigaciones se centran en la búsqueda de más evidencias sobre la identidad y motivos de estos ataques, los cuales están focalizados en afectar al sector financiero en forma creciente,

Más información en https://www.symantec.com/connect/blogs/attackers-target-dozens-global-banks-new-malware-0

 

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.