Blackberry warns of a $100M cyber threat to Mexican banks

• La division de recherche de Blackberry a détecté un attaquant motivé financièrement ciblant des banques mexicaines à haute valeur nette et des plateformes d’échange de cryptomonnaies, avec un vol prévu dépassant 100 millions de dollars.
• Les attaquants sont basés en Amérique latine et utilisent le RAT AllaKore pour compromettre les données confidentielles des banques et des échanges de cryptomonnaies.

Un attaquant motivé financièrement a été détecté et signalé par la division de recherche et de renseignement de Blackberry, un géant technologique qui dominait autrefois l’industrie mobile. L’attaquant ciblait de nombreuses banques mexicaines à haute valeur nette et des plateformes d’échange de cryptomonnaies. Les attaquants pourraient viser à voler plus de 100 millions de dollars de revenus bruts, une statistique prédite par le modèle de menace.

Qui sont les cibles ?

Selon l’analyse de Blackberry, le ciblage n’était pas influencé par le secteur d’activité, et les attaquants s’intéressaient principalement aux grandes entreprises – dont beaucoup affichaient des revenus bruts annuels supérieurs à 100 millions de dollars. Blackberry a également suivi les entreprises ciblées dans les secteurs de la vente au détail, de l’agriculture, de la fabrication, du transport, du secteur public, des services commerciaux, des biens d’équipement et de la banque. Chaque leurre a utilisé des ressources gouvernementales mexicaines réputées et sûres, telles que le mécanisme de paiement géré par l’Institut de sécurité sociale du Mexique.

Blackberry a découvert qu’un outil d’accès à distance open source appelé AllaKore RAT était utilisé pour dérober des données utilisateur confidentielles auprès de banques et de sociétés de trading de cryptomonnaies. En se dissimulant derrière des schémas de nommage et des liens légitimes, la menace contourne souvent la méfiance des employés en installant le programme dans les systèmes et bases de données gérés par l’entreprise. Voir aussi: Ziggo Group nomme ses dirigeants avant l'introduction en Bourse à Amsterdam en 2027.

La majorité des attaques ont été retracées jusqu’à des adresses IP appartenant à Starlink Mexique. Blackberry a également conclu que l’acteur de la menace est basé en Amérique latine en raison de l’utilisation d’instructions en espagnol dans la charge utile modifiée du RAT. Voir aussi: Alejandro Estua.

Cet acteur de la menace cible les entreprises mexicaines depuis au moins fin 2021. Un acteur de la menace axé sur le Mexique, connu sous le nom de FIN13, a fait l’objet d’un rapport d’enquête publié en décembre 2021 par la société américaine de cybersécurité Mandiant. Selon les recherches, seuls deux acteurs de la menace ont ciblé une seule nation sur une longue période. Parmi les organisations mentionnées, seules 14 restent motivées financièrement après plus d’un an. Cet acteur de la menace se distingue en se concentrant spécifiquement sur des régions particulières et en faisant preuve de persévérance dans ses actions.

À lire également: Comment renforcer la cybersécurité après la violation de la base de données du tribunal d’État australien ?

Qu’est-ce que AllaKore RAT ?

AllaKore RAT est un outil d’accès à distance simple et open source. Il a été initialement repéré en 2015, et en mai 2023, le groupe de menace SideCopy l’a utilisé pour infiltrer des entreprises dans une région particulière. AllaKore est incroyablement puissant; il peut envoyer et télécharger des fichiers, enregistrer les frappes, capturer des écrans et même prendre le contrôle à distance de l’ordinateur de la victime.

La procédure d’installation des versions les plus récentes de AllaKore RAT est plus complexe; le programme est envoyé aux cibles sous la forme d’un fichier d’installation de logiciel Microsoft. Le logiciel malveillant ne commence à fonctionner qu’après avoir vérifié que la victime se trouve au Mexique. Voir aussi: Alejandro Manzo.

Le rapport de Blackberry explique: « La charge utile AllaKore RAT est fortement modifiée pour permettre aux acteurs de la menace d’envoyer des identifiants bancaires volés et des informations d’authentification uniques vers un serveur de commande et contrôle (C2) à des fins de fraude financière. » Voir aussi: Alejandro Hernandez.

À lire également: Les risques de cybersécurité des appareils intelligents: un guide complet