El análisis revela que los desarrolladores de Dyre han expandido las capacidades y alcance del malware actualizando sus inyecciones de código, y así llegan a los bancos que están persiguiendo en España. Además de sus objetivos en España, la banda de Dyre ve oportunidades en otros países de habla hispana más allá de la propia España, atacando en Chile, Colombia y Venezuela. Nada de esto resulta sorprendente, dado que el español es la segunda lengua más hablada en el mundo.
En números, las compañías españolas registraron pérdidas de 14 billones de euros en 2014. Las ultimas noticias sobre cibercrimen en España relatan el arresto de una banda que logró recaudar 2 millones de euros en llamadas de teléfono fraudulentas a números premium desde teléfonos o tarjetas SIM robados.
IBM ha compartido sus últimos hallazgos sobre Dyre para preparar y ayudar a proteger a los bancos a los que se dirigen estos ataques contra el aumento en riesgos de seguridad.
Acerca de Dyre
Aparentemente Dyre, cuyo nombre proviene de la frase encontrada en su código “I am Dyreza”, empezó a mediados de 2014 como un simple proyecto RAT (Acrónimo en inglés de Troyano de acceso remoto). Aunque inicialmente se dedicaba a captar credenciales cifradas, ha evolucionado de manera rápida y agresiva desde entonces, cambiando tanto su estructura técnica como su metodología criminal. Hoy en día, Dyre es un troyano bancario en toda regla que mantiene en vilo a los profesionales relacionados con la seguridad y a sus víctimas intentando poner remedio.Dyre es uno de los códigos activos de malware más avanzados en la actualidad dadas sus capacidades multifuncionales y sus constantes actualizaciones, diseñadas para eludir cualquier mecanismo de detección proveniente de un antivirus u otro mecanismo de seguridad estática. Y, al mismo tiempo que desde un punto de vista técnico Dyre resulta interesante por sí mismo, el grupo que está tras él lleva a cabo la investigación más importante hoy en día para profesionales que luchan contra el cibercrimen.
La banda de cibercriminales detrás de Dyre no está compuesta por amateurs. Empezando por su infraestructura, la mano de obra, el conocimiento profundo de los sitios web bancarios y sus esquemas de autenticación, este grupo tiene respaldo de recursos, es experimentado y astuto.
El equipo de Dyre es una “banda privada” y cerrada. Es la denominación que se da a los grupos cibercriminales dueños del crimeware (software criminal específicamente diseñado para la ejecución de delitos financieros), que desarrollan y guardan para sí mismos. No intercambian información en foros underground sobre el fraude, ni comparten conocimiento o hacen preguntas. No venden el malware, y se muestran extremadamente cuidadosos a la hora de incluir nuevos miembros a su banda.
Dyre está relacionado con otros conocidos grupos operativos de malware. La banda tiene conexiones con el programa de descarga Upatre, con la botnet de spam Cutwail, y el exploit kit RIG. Además, ya ha compartido servidores de comunicación con el troyano Feodo (descendencia del ruso Bugat).
Ataques cibercriminales selectivos
Desde sus inicios, la banda de Dyre no se planteó este juego para alcanzar una meta fácil como ocurre normalmente con las bandas más pequeñas relacionadas con el cibercrimen. Este equipo llegó apuntando alto. Y por alto me refiero a dinero corporativo, al menos medio millón de dólares cada vez.
Fueron los laboratorios PhishMe los que a mediados de 2014 hicieron pública por primera vez la operación inicial de Dyre. Hay que tener en cuenta que, por lo general, en el momento en que se descubre un malware, ya lleva funcionando unos cuantos meses. No llevó más de tres meses para que IBM Security empezara a informar de que Dyre apuntaba a las cuentas de Salesforce.com de los bancos americanos más importantes, y que estaba recolectando información de sus clientes.
En ese momento, muchos creyeron que Dyre quería hacerse con los datos para monetizar el espionaje empresarial, pero, cuando IBM descubrió la campaña Dyre Wolf a principios de 2015, las cosas se volvieron nítidas para todos: ataques de transferencias fraudulentas selectivas.
Este fraude selectivo representa un cruce entre ataques APT (acrónimo en inglés de Amenaza persistente avanzada) y ataques de fraude financiero. Los criminales empiezan adquiriendo conocimiento sobre la organización a la que van dirigidos, invierten tiempo y ponen atención en abrir brechas en sus sistemas, y así preparan el terreno para el fraude antes de golpear con una transferencia electrónica ilícita de una gran suma de dinero.
Con el nuevo archivo de configuración específico para España, los bancos españoles y sus clientes corporativos tienen un mayor riesgo de sufrir ataques de transferencias fraudulentas selectivas.
¿Cómo funcionan estos ataques?
Para lanzar estos ataques de transferencias fraudulentas selectivas, Dyre despliega un “equipo SWAT” (acrónimo en inglés de Armas y tácticas especiales) dentro de sus filas. Este equipo especial realiza estas operaciones fraudulentas cuidadosamente mediante llamadas de teléfono realizadas por expertos con las habilidades que la entidad defraudada esperaría de su banco. El fraude puede continuar con un ataque DDoS para asegurarse de que la compañía no pueda volver a conectarse a la cuenta o está ocupada intentando averiguar cómo eludir el ataque.
Dyre, a diferencia del malware avanzado de grado similar, está operado por lo que parece ser un grupo muy bien organizado. La botnet total se divide en secciones, las campañas se marcan con la fecha de lanzamiento y las regiones se separan en diferentes versiones del malware.
Parece que un grupo
F.IBMSecurities
No hay comentarios:
Publicar un comentario