Blackberry advierte de una amenaza cibernética de $100M a bancos mexicanos

Blackberry advierte de una amenaza cibernética de $100M a bancos mexicanos es perfilado por BTW Media porque la evidencia publicada lo vincula a la infraestructura de internet, gobernanza, dependencias operativas o visibilidad del mercado.

• La división de investigación de Blackberry detectó a un atacante con motivaciones económicas dirigido a bancos mexicanos de alto patrimonio y casas de cambio de criptomonedas, con un robo previsto superior a los 100 millones de dólares.
• Los atacantes tienen su base en América Latina y utilizan el troyano AllaKore RAT para comprometer datos confidenciales de bancos y casas de cambio de criptomonedas.

Un atacante con motivaciones económicas fue detectado y advertido por la división de investigación e inteligencia de Blackberry, un gigante tecnológico que alguna vez dominó la industria móvil. El atacante apuntaba a varios bancos mexicanos de alto patrimonio y casas de cambio de criptomonedas. Los atacantes podrían intentar robar más de 100 millones de dólares en ingresos brutos, una cifra prevista por elpatrón de amenaza.

¿Quiénes son los objetivos?

La focalización, según elanálisisde Blackberry, no se vio afectada por la industria, y los atacantes estaban interesados principalmente en grandes empresas, muchas de las cuales tenían ingresos brutos anuales superiores a los 100 millones de dólares. Blackberry rastreó además las empresas a las que apuntaban los atacantes en los sectores minorista, agrícola, manufacturero, de transporte, público, de servicios comerciales, de bienes de capital y bancario. Cada señuelo ha utilizado recursos gubernamentales mexicanos legítimos y seguros, como el mecanismo de pago operado por el Instituto de Seguridad Social de México.

Blackberry descubrió que se estaba utilizando una herramienta de acceso remoto de código abierto llamada AllaKore RAT para robar datos confidenciales de usuarios de bancos y empresas de comercio de criptomonedas. Al ocultarse detrás de esquemas de nombres y enlaces legítimos, el peligro a menudo elude las sospechas de los empleados al instalar el programa en sistemas y bases de datos administrados por la empresa.

La mayoría de los ataques se rastrearon hasta direcciones IP propiedad de Starlink en México. Blackberry también llegó a la conclusión de que el actor de amenazas tiene su sede en América Latina debido al uso en el payload del RAT modificado de instrucciones escritas en español.

Este actor de amenazas ha estado apuntando a empresas mexicanas desde al menos finales de 2021. Un actor de amenazas enfocado en México conocido comoFIN13fue objeto de un informe de investigación publicado en diciembre de 2021 por la empresa estadounidense de ciberseguridad Mandiant. Según la investigación, solo dos actores de amenazas atacaron a una sola nación durante un período prolongado. De las organizaciones mencionadas, solo 14 siguen estando motivadas económicamente después de más de un año. Este actor de amenazas se destaca por enfocarse específicamente en regiones particulares y demostrar persistencia en sus acciones.

Lea también:Cómo mejorar la ciberseguridad tras la violación de la base de datos del Tribunal Supremo de Australia

¿Qué es AllaKore RAT?

AllaKore RATes una herramienta de acceso remoto de código abierto sencilla. Se detectó por primera vez en 2015, y en mayo de 2023, el grupo de amenazas SideCopy la empleó para penetrar en empresas de una región en particular. AllaKore es increíblemente potente; puede cargar y descargar archivos, registrar pulsaciones de teclas, capturar pantallas e incluso tomar el control remoto del ordenador de la víctima.

El procedimiento de instalación de las versiones más recientes de AllaKore RAT es más complejo; el programa se envía a los objetivos en forma de archivo de instalación de software de Microsoft. El malware no comienza a funcionar hasta que ha verificado que la víctima se encuentra en México.

El informe de Blackberry explicaba: “El payload de AllaKore RAT está muy modificado para permitir a los actores de amenazas enviar credenciales bancarias robadas e información de autenticación única a un servidor de comando y control (C2) con fines de fraude financiero”.

Lea también:Los riesgos de ciberseguridad de los dispositivos inteligentes: una guía completa