A principios de diciembre, Estados Unidos acusó a Maksim Yakubets, alias Aqua, de la supuesta campaña de ciberrobo más importante de la última década. Además, el Departamento de Justicia de Estados Unidos ha ofrecido una recompensa de 5 millones de dólares por información que conduzca a su detención y condena.
Maksim, al parecer miembro fundador de un grupo conocido como Evil Corp, ha sido presuntamente responsable del robo de miles de credenciales de cuentas bancarias de víctimas de varios países. Mediante malware conocido como Dridex -también llamado Cridex o Bugat-, Evil Corp habría conseguido desviar decenas de millones de dólares de víctimas inconscientes. El FBI calcula que Dridex causó pérdidas de 100 millones de dólares o más en cientos de bancos.
El ataque era tan elegante como sencillo. Evil Corp supuestamente convencía a las víctimas para que hicieran clic en un enlace malicioso de un correo electrónico phishing para descargar Dridex. Una vez instalado, el malware utilizaba un keylogger para obtener contraseñas o creaba páginas bancarias falsas para engañar a la víctima e inducirla a introducir voluntariamente sus credenciales. Los mensajes de phishing solían estar bien elaborados, utilizando una combinación de nombres de empresas y dominios legítimos, así como la terminología profesional correcta.
Armado con credenciales de cuentas bancarias, Evil Corp habría organizado transferencias electrónicas de fondos desde las cuentas bancarias de las víctimas a una red de las llamadas mulas de dinero, que luego transferirían los fondos de nuevo a Evil Corp.
Cabe destacar cómo Evil Corp mejora continuamente el malware Dridex, por ejemplo, pasando de un centro de mando y control centralizado a redes de bots entre pares para dificultar el rastreo de sus actividades.
La Agencia de Seguridad Nacional (NSA) ha publicado recientemente sus diez principales estrategias de mitigación de la ciberseguridad. Alineadas con el marco de ciberseguridad del NIST, las estrategias ofrecen un enfoque basado en el riesgo para mitigar las técnicas de explotación utilizadas por los actores de amenazas persistentes avanzadas (APT), como las tácticas, técnicas y procedimientos (TTP) de Dridex.
Cabe destacar las dos recomendaciones siguientes:
- Defender privilegios y cuentas. Asigne privilegios en función de la exposición al riesgo y según sea necesario para mantener las operaciones. Deben controlarse las cuentas y los servicios con privilegios, ya que las amenazas siguen apuntando a las credenciales de administrador para acceder a activos de alto valor y moverse lateralmente por la red.
- Buscar continuamente intrusiones en la red. Tome medidas proactivas para detectar, contener y eliminar cualquier presencia maliciosa en la red. Las empresas deben asumir que se ha producido una intrusión y utilizar equipos especializados para buscar, contener y eliminar continuamente a los actores de la amenaza dentro de la red.
El establecimiento de medidas proactivas hará que la organización vaya más allá de los métodos de detección básicos, permitiendo la detección y corrección de amenazas en tiempo real mediante una estrategia de supervisión y mitigación continuas.
Recientemente hemos añadido Privileged Access Analytics a la plataforma Cognito de Vectra. PAA consiste en algoritmos basados en IA que proporcionan a un equipo del centro de operaciones de seguridad (SOC) detecciones de alta fidelidad de comportamientos de atacantes que implican cuentas privilegiadas que se aprovechan en comportamientos inusuales y potencialmente maliciosos. En efecto, Vectra aprende los patrones de sus cuentas de usuario y alerta de forma inteligente cuando se hace un uso indebido de las credenciales, como en los ataques phishing .
PAA permite a los equipos SOC supervisar y defenderse contra este tipo de ataques. Además de nuestros amplios modelos que detectan canales de mando y control, esto convierte a la plataforma Cognito en una potente herramienta para combatir los ataques en evolución de malware contra las empresas.
Para más información sobre comportamientos de amenazas y ataques basados en privilegios o para ver la plataforma Cognito en acción, visite vectra.ai/demo.