Blackberry warns of a $100M cyber threat to Mexican banks

• La división de investigación de Blackberry detectó un atacante con motivaciones financieras dirigido a bancos mexicanos de alto patrimonio y exchanges de criptomonedas, con un robo anticipado que supera los $100 millones.
• Los atacantes tienen su base en América Latina, utilizando AllaKore RAT para comprometer datos confidenciales de bancos y exchanges de criptomonedas.

Un atacante con motivaciones financieras fue detectado y advertido por la división de investigación e inteligencia de Blackberry, un gigante tecnológico que alguna vez dominó la industria móvil. El atacante apuntaba a varios bancos mexicanos de alto patrimonio y exchanges de criptomonedas. Los atacantes podrían intentar robar más de $100 millones en ingresos brutos, una estadística predicha por el patrón de amenaza.

¿Quiénes son los objetivos?

El objetivo, según el análisis de Blackberry, no se vio afectado por la industria, y los atacantes estaban interesados principalmente en grandes empresas, muchas de las cuales tenían ingresos brutos anuales de más de $100 millones. Blackberry rastreó además las empresas que los atacantes apuntaron en los sectores de comercio minorista, agricultura, manufactura, transporte, sector público, servicios comerciales, bienes de capital y banca. Cada señuelo ha utilizado recursos del gobierno mexicano acreditados y seguros, como el mecanismo de pago operado por el Instituto de Seguridad Social en México.

Blackberry descubrió que una herramienta de acceso remoto de código abierto llamada AllaKore RAT se estaba utilizando para robar datos confidenciales de usuarios de bancos y empresas de comercio de criptomonedas. Al esconderse detrás de esquemas de nombres legítimos y enlaces, el peligro a menudo evade las sospechas de los empleados instalando el programa en sistemas y bases de datos administrados por la empresa. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

La mayoría de los ataques se rastrearon hasta direcciones IP propiedad de Mexico Starlink. Blackberry también llegó a la conclusión de que el actor de amenazas tiene su sede en América Latina debido al uso en el payload modificado del RAT de instrucciones escritas en español. Ver también: Alejandro Estua.

Este actor de amenazas ha estado apuntando a empresas mexicanas desde al menos finales de 2021. Un actor de amenazas enfocado en México conocido como FIN13 fue el tema de un informe de investigación publicado en diciembre de 2021 por la empresa estadounidense de ciberseguridad Mandiant. Según la investigación, solo dos actores de amenazas apuntaron a una sola nación durante un período prolongado. De las organizaciones mencionadas, solo 14 permanecen con motivaciones financieras después de más de un año. Este actor de amenazas se destaca por enfocarse específicamente en regiones particulares y demostrar persistencia en sus acciones.

Lea también: ¿Cómo mejorar la ciberseguridad después de la violación de la base de datos de la Corte Estatal de Australia?

¿Qué es AllaKore RAT?

AllaKore RAT es una herramienta simple de acceso remoto de código abierto. Se observó por primera vez en 2015, y en mayo de 2023, el grupo de amenazas SideCopy la empleó para penetrar empresas en una región particular. AllaKore es increíblemente poderosa; puede subir y descargar archivos, registrar pulsaciones de teclas, capturar pantallas e incluso tomar control remoto de la computadora de la víctima.

El procedimiento de instalación de las versiones más recientes de AllaKore RAT es más complejo; el programa se envía a los objetivos en forma de un archivo de instalación de software de Microsoft. El malware no comienza a funcionar hasta que ha verificado que la víctima está en México. Ver también: Alejandro Manzo.

El informe de Blackberry explicó: “El payload de AllaKore RAT está fuertemente modificado para permitir a los actores de amenazas enviar credenciales bancarias robadas e información de autenticación única a un servidor de comando y control (C2) con fines de fraude financiero. ” Ver también: Alejandro Hernandez.

Lea también: Los riesgos de ciberseguridad de los dispositivos inteligentes: Una guía completa