Symantec reveló que 104 organizaciones, en su mayoría bancos y entre las que se encuentran cinco empresas chilenas, fueron blanco de una nueva ola de ataques que ha estado en marcha desde octubre de 2016. Los atacantes utilizaron sitios web comprometidos (“agujeros de riego”) para infectar objetivos pre-seleccionados con malware previamente desconocido. Los ataques salieron a la luz cuando un banco en Polonia descubrió un malware previamente desconocido ejecutándose en sus computadores. Como consecuencia, el banco compartió indicadores de compromiso (COI) con otras instituciones, que descubrieron que también sus equipos habían sido comprometidos y habían sido blanco del mismo malware.
Según se informó, la fuente del ataque parece haber sido el sitio web del regulador financiero polaco. Los atacantes comprometieron el sitio web para redirigir a los visitantes a un exploit kit que intentó instalar malware en los objetivos seleccionados.
En este sentido, Symantec ha bloqueado los intentos de infectar a clientes latinoamericanos con el mismo exploit kit que infectó a los bancos polacos. Desde octubre se han bloqueado 14 ataques contra computadores en México y 11 contra PCs en Uruguay. Aunque el malware ha alcanzado a 9 empresas en México, cinco en Brasil y Chile, y tres en Colombia y Venezuela.
Exploit kit personalizado
Los atacantes parecen estar utilizando sitios web comprometidos para redirigir a los visitantes a un exploit kit personalizado, que está pre-configurado para infectar a los visitantes de aproximadamente 150 direcciones IP diferentes. Estas direcciones IP pertenecen a 104 organizaciones de 31 países diferentes. La gran mayoría de estas entidades son bancos, sumadas a un pequeño número de empresas de telecomunicaciones y de Internet que también están en la lista.
¿Por qué Lazarus?
El malware utilizado en los ataques (Downloader.Ratankba) no estaba previamente identificado, aunque fue detectado por Symantec bajo firmas de detección genérica, diseñadas para bloquear cualquier archivo que se vea involucrado en actividades maliciosas. A su vez, y aunque el análisis aún está en marcha, algunas cadenas de código que se ven en el malware son idénticas al código utilizado por el grupo de amenazas conocido como Lazarus. Es decir, que Ratankba fue observado descargando un Hacktool que muestra características compartidas con un malware previamente asociado a Lazarus.
Además, Lazarus ha estado involucrado en ataques financieros de alto nivel antes y algunas de las herramientas utilizadas en el banco de Bangladesh comparten las similitudes de código con el malware utilizado en ataques históricos vinculados al grupo. También fue asociado a una serie de ataques agresivos desde 2009, centrados principalmente en objetivos en Estados Unidos y Corea del Sur.
Desde Symantec afirman que la investigación de estos ataques está en marcha y, con el tiempo, pueden surgir más pruebas sobre la identidad y los motivos de los atacantes. Después de una serie de ataques de alto perfil contra los bancos durante 2016, este último incidente es un recordatorio oportuno de la creciente gama de amenazas a las que se enfrentan las instituciones financieras.