TLP: Amber
NIVEL DE RIESGO – CVSS v3.0: [Crítico]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Roboto financiero.

Descripción

BeagleBoyz” es un grupo de usuarios maliciosos patrocinado por Corea del Norte dedicado a robar bancos a través de dispositivos con acceso remoto a Internet. Este grupo ha sido responsable de retiros de efectivo en cajeros automáticos con “FASTCash” reportados en octubre de 2018, así como de fraudes a bancos operados por el sistema “SWIFT” desde 2015 y robos de criptomonedas.

Los actos cometidos han involucrado una cuidadosa planeación del ataque, los objetivos de este grupo de ciberdelincuentes son principalmente servicios financieros de muchos países en el mundo, como son Argentina, Brasil, Chile, Costa Rica, Ecuador, India, Indonesia, Japón, México, Panamá, Perú, Filipinas, Singapur, Sudáfrica, Corea del Sur, España, Taiwán, Turquía, Uruguay, Vietnam, por mencionar algunos.

Esta actividad presenta un gran riesgo, ya que Corea del Norte puede usar estos fondos para sus programas de misiles balísticos y armas nucleares prohibidos por la ONU, e incluso también representa una amenaza a la integridad de los sistemas financieros.

La forma en la que BeagleBoyz tiene acceso a la red de una institución financiera es por medio de una gran variedad de herramientas y técnicas.

Primeramente, pueden usar  el spearphishing, campañas de phishing de temas específicos con archivos adjuntos, o aprovechar una vulnerabilidad en un sistema informático para acceder a una institución específica, posteriormente compromete un equipo conectado a la red y comienza a aprovechar selectivamente sistemas informáticos, mediante línea de comandos, Scripts o manipulación de algún módulo de Windows. Una vez ya infiltrado, busca la manera de permanecer en la red, mediante reinicios al sistema, cambios de contraseñas e interrupciones que afecten el acceso, además, busca la manera de evadir y controlar privilegios de usuario para acceder a los sistemas y agregar código malicioso.

Posteriormente utiliza las credenciales obtenidas, el mapeo de la red y otros procedimientos, para encontrar y acceder a las terminales SWIFT y al servidor que aloja la aplicación de cambio de pago, sin embargo, ya que el conmutador ATM y la terminal generalmente no tienen conexión a Internet, los ciberdelincuentes usan túneles de proxy de red, para no perder la comunicación.

Dependiendo del sistema operativo, Window o UNIX, usan un programa malicioso llamado “FASTCash” para interceptar mensajes de solicitud financiera y responder con mensajes de respuesta fraudulentos que aparentan ser legítimos, y con ello permitir retiros de efectivo en cajeros automáticos.

Nivel de riesgo

  • [Crítico]

Sistemas/tecnologías afectadas:

  • Terminales SWIFT
  • Sistemas operativos Microsoft Windows
  • Sistemas operativos Unix

Medidas de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • b484b0dff093f358897486b58266d069
    • f34b72471a205c4eee5221ab9a349c55
    • 4c26b2d0e5cd3bfe0a3d07c4b85909a4
    • 52ec074d8cb8243976963674dd40ffe7
    • d1d779314250fab284fd348888c2f955
    • 41fd85ff44107e4604db2f00e911a766
    • cf733e719e9677ebfbc84a3ab08dd0dc
    • 01d397df2a1cf1d4c8e3615b7064856c
    • 5cfa1c2cb430bec721063e3e2d144feb
    • 4f67f3e4a7509af1b2b1c6180a03b3e4

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • No abrir archivos adjuntos de correos electrónicos de origen desconocido o sospechoso.
  • Aislar la infraestructura del sistema de pago e implementar la autenticación multifactor (MFA).
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Registrar transacciones y auditar continuamente la información de las mismas en el servidor del conmutador.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Asegurar todos los enlaces a los motores del sistema de pago con un mecanismo basado en certificados.
  • Concientizar a usuarios finales respecto a este tipo de campañas.
  • Verificar el cumplimiento de los manuales del Consejo de Examen de Instituciones Financieras Federales (FFIEC).
  • Establecer/Actualizar una política de contraseñas robustas y verificar que estas se cambien periódicamente.

Referencias