Revelando los APT más Peligrosos que Apuntan al Sector Financiero

Fortaleciendo Tu Defensa con la Plataforma SOC Prime

Las organizaciones financieras siempre han sido un objetivo atractivo para los adversarios respaldados por naciones, ya que buscan constantemente fuentes de ingresos adicionales. Las Amenazas Persistentes Avanzadas (APTs) dirigidas al sector financiero pueden tener consecuencias devastadoras, ya que buscan comprometer las instituciones financieras, robar datos sensibles y perturbar los sistemas financieros. Las APTs ejecutan campañas sostenidas y metódicas que pueden extenderse por meses o incluso años. Emplean tácticas avanzadas para evitar la detección, usando técnicas como exploits de día cero, y cifrado para ocultar sus actividades.

Es importante tener en cuenta que el panorama de amenazas está en constante evolución, y pueden surgir nuevos grupos de APT mientras los existentes adaptan sus tácticas. Las instituciones financieras necesitan mantener medidas de ciberseguridad sólidas, incluidas la detección de amenazas, la capacitación de empleados y los planes de respuesta a incidentes, para defenderse eficazmente contra estas APTs. Además, compartir inteligencia de amenazas dentro del sector financiero y con agencias de cumplimiento de la ley puede ayudar en la detección temprana y mitigación de ataques de APT.

Respaldada por la experiencia colectiva en ciberseguridad, la Plataforma SOC Prime ofrece herramientas avanzadas de detección y caza de amenazas que ayudan a defender proactivamente contra los ataques de APT contra instituciones financieras.

Comienza con SOC PrimeHabla con Expertos

Las APTs en este sector son típicamente sofisticadas y bien financiadas, lo que las hace particularmente peligrosas. Estos grupos de ciberespionaje incluyen estados-nación, grupos patrocinados por el estado, y organizaciones de cibercriminales avanzadas. Sumérjase en algunos de los APTs más peligrosos que apuntan a la industria financiera y explore la lista de contenido de detección relevante que aborda las técnicas adversarias utilizadas por los actores de amenaza correspondientes.

FIN7 (Grupo Carbanak)

FIN7, también conocido como Carbanak, entre otros nombres, es descrito como uno de los grupos de hackers criminales más exitosos del mundo. Se dice que el grupo de hackers ha robado más de 900 millones de dólares de bancos y de más de mil clientes privados.

FIN7 típicamente iniciaba sus ciberataques enviando un correo electrónico de “phishing” a un empleado de la empresa. Cada correo incluía un archivo adjunto, a menudo un documento de Microsoft Word que aparentaba ser inofensivo, con malware incrustado. El texto dentro del correo simulaba un mensaje comercial legítimo para llevar al empleado destinatario a abrir el adjunto y activar el malware que infectaría la computadora.

Los criminales pudieron manipular su acceso a las respectivas redes bancarias para robar dinero de diversas maneras. En algunos casos, se instruía a los cajeros automáticos para que dispensaran efectivo sin tener que interactuar localmente con el terminal. Los muleros de dinero recogían el dinero y lo transferían a través de la red SWIFT a las cuentas de los criminales.

Detecta TTPs por FIN7 también conocido como Grupo Carbanak

APT19 también conocido como Deep Panda

APT19, también conocido como Deep Panda, es un grupo de amenazas patrocinado por el estado que se cree está basado en China. Este grupo de hackers ha estado activo desde al menos 2011 y es famoso por sus ataques dirigidos a varios sectores, con un fuerte enfoque en la industria financiera. En 2017, se utilizó una campaña de phishing para atacar a siete firmas de abogados y de inversión. Esta campaña fue asociada con APT19, que utilizó tres técnicas diferentes para intentar comprometer objetivos:

1. A principios de mayo, se aprovecharon señuelos de phishing con adjuntos RTF que explotaron la vulnerabilidad de Microsoft Windows descrita como CVE-2017-0199.
2. Hacia finales de mayo, este grupo de hackers pasó a usar documentos de Microsoft Excel (XLSM) habilitados con macros.
3. En las versiones más recientes, APT19 añadió una omisión de lista blanca de aplicaciones a los documentos XLSM. Al menos un señuelo de phishing observado entregó una carga útil de Cobalt Strike.

Los objetivos principales de Deep Panda incluyen el robo de datos y obtener una ventaja competitiva mediante espionaje económico.

Detecta TTPs por APT19 también conocido como Deep Panda

Grupo Lazarus

El Grupo Lazarus es un equipo de hackers que se cree está vinculado a Corea del Norte y se le ha atribuido a la Oficina General de Reconocimiento. Aquí está cómo han estado trabajando contra bancos. El malware utilizado por el Grupo Lazarus se correlaciona con otras campañas reportadas, incluidas la Operación Flame, Operación 1Misión, Operación Troy, DarkSeoul, y Diez Días de Lluvia.

El Grupo Lazarus se considera peligroso para la industria bancaria por varias razones:

• Emplean métodos y herramientas sofisticadas para infiltrarse en los sistemas bancarios, a menudo permaneciendo sin ser detectados durante largos períodos.
• A diferencia de otros grupos de ciberespionaje que podrían estar más enfocados en recopilar inteligencia, el Grupo Lazarus tiene una fuerte motivación financiera. Han sido vinculados a varios robos de bancos de alto perfil, intentando transferir grandes sumas de dinero, mostrando su alcance global y comprensión de diferentes sistemas bancarios.
• Una vez que se infiltran en un sistema, a menudo permanecen dentro por un largo tiempo, estudiando el entorno, entendiendo los flujos de trabajo, y planificando cuidadosamente su robo.
• Sus operaciones han resultado en el robo de cientos de millones de dólares de bancos. Tales pérdidas pueden ser devastadoras, especialmente para instituciones financieras más pequeñas.

Detecta TTPs por el Grupo Lazarus

Grupo Cobalt

Entre las muchas amenazas enfrentadas por las organizaciones financieras, un grupo destaca por su sofisticación y persistencia: la Amenaza Persistente Avanzada (APT) Cobalt. Este grupo bien organizado y persistente ha estado activo durante más de una década, evolucionando continuamente sus tácticas, técnicas y procedimientos (TTPs).

APT Cobalt principalmente ataca instituciones financieras, representando un riesgo significativo para bancos, compañías de seguros y firmas de inversión en todo el mundo. El grupo ha llevado a cabo intrusiones para robar dinero al atacar sistemas de cajeros automáticos, procesamiento de tarjetas, sistemas de pago y sistemas SWIFT.
El Grupo Cobalt ha atacado principalmente bancos en Europa del Este, Asia Central y Sudeste Asiático. Uno de los presuntos líderes fue arrestado en España a principios de 2018, pero el grupo todavía parece estar activo. Cobalt ha sido conocido por apuntar a organizaciones para luego comprometer víctimas adicionales.

Lo que hace tan peligrosa a la APT Cobalt es su capacidad para ejecutar ataques altamente coordinados y de múltiples etapas. Emplean una variedad de vectores de ataque, incluidas campañas de spear-phishing, exploits de día cero y documentos cargados de malware. Una vez dentro de una organización objetivo, realizan una amplia reconocimiento, se mueven lateralmente y escalan privilegios para obtener acceso a datos y sistemas financieros valiosos.

Detecta TTPs por el Grupo Cobalt

Cozy Bear

Cozy Bear, también conocido como APT29, es un grupo de ciberespionaje que se cree está asociado con una o más agencias de inteligencia de Rusia. Cozy Bear puede ser reconocido por sus operaciones sigilosas, enfocándose en infiltrarse en sistemas y robar información sensible en lugar de causar daño inmediato.

Cozy Bear es peligroso para la industria bancaria porque tienen recursos significativos y motivaciones que podrían diferir de otros grupos de ciberdelincuentes. Si bien su enfoque principal podría ser el espionaje, las herramientas y el acceso que obtienen pueden ser utilizados para el robo financiero o para interrumpir las operaciones bancarias. Dado que no limitan sus operaciones a regiones o sectores específicos, su capacidad para apuntar a entidades en todo el mundo significa que los bancos de todas partes deben estar atentos. Las operaciones de APT29 a menudo son complejas, lo que hace difícil atribuirles ataques de manera definitiva.

Dado estos factores, Cozy Bear plantea una amenaza significativa a la industria bancaria. Su combinación de respaldo estatal y adaptabilidad los hace un adversario formidable en el ámbito cibernético. Los bancos e instituciones financieras deben ser conscientes de los riesgos potenciales planteados por grupos como Cozy Bear y tomar medidas de ciberseguridad adecuadas.

Detecta TTPs por APT29 también conocido como Cozy Bear

Fancy Bear

APT28 (también conocido como Fancy Bear) es un grupo de hackers respaldado por Rusia con una larga historia de lanzar ciberataques sofisticados y altamente efectivos contra organizaciones financieras. Fancy Bear no está limitado a una región o sector, han atacado organizaciones basadas en Europa, instituciones gubernamentales de EE.UU., y un alarmante número de entidades ucranianas.

Este grupo de ciberespionaje ha sido vinculado a varios ciberataques de alto perfil, incluyendo el presunto hackeo de las elecciones presidenciales de EE.UU. de 2016 y el ataque de malware NotPetya de 2017 y el hackeo del Comité Nacional Demócrata (DNC) en los Estados Unidos en 2016.

APT28 elabora correos electrónicos de phishing altamente convincentes para engañar a los empleados y hacerles clicar en enlaces maliciosos o descargar adjuntos cargados de malware. Una vez dentro de la red, pueden moverse lateralmente y escalar privilegios.

El grupo también es conocido por explotar vulnerabilidades de software que aún no son conocidas por el público o el proveedor del software. Esto permite a APT28 obtener acceso no autorizado a los sistemas objetivos. Su objetivo es robar datos financieros sensibles, incluyendo información del cliente, registros de transacciones y propiedad intelectual. Siendo persistentes y pacientes, pueden permanecer ocultos en una red comprometida durante largos períodos, continuamente exfiltrando datos y expandiendo su acceso.

Detecta TTPs por APT28 también conocido como Fancy Bear

Para tener la colección completa de reglas Sigma para detectar actividad maliciosa asociada con prominentes actores de APT que apuntan a la industria financiera, pulsa el botón Explora Detecciones a continuación. El paquete de contenido de detección incluye más de 1600+ reglas de Sigma compatibles con 28 tecnologías SIEM, EDR, XDR, y Data Lake.

Explora Detecciones

En vista de que diariamente aparecen nuevas técnicas maliciosas que requieren ser abordadas con ítems de contenido de detección curados, el extenso número de reglas puede ser desafiante de procesar manualmente. Para agilizar los procedimientos de caza de amenazas, rastrear posibles ataques en tiempo real e identificar las brechas de defensa cibernética de las organizaciones adaptadas a su industria y perfil de amenaza, los profesionales de seguridad podrían optar por usar Attack Detective de SOC Prime. Prueba Attack Detective ahora para asegurar dinámicamente la superficie de ataque en constante expansión, identificar oportunamente puntos ciegos en tu cobertura de fuente de registro, y abordarlos inteligentemente para asegurar una protección completa de tus activos de datos críticos y ganar confianza en tu postura de ciberseguridad.

Además, las soluciones de ciberseguridad ofrecidas por Plataforma SOC Prime pueden desempeñar un papel fundamental al salvaguardar el sector financiero en 2023. Comienza con Threat Detection Marketplace para acceder al feed de reglas de detección más grande del mundo sobre las TTPs más recientes utilizadas por adversarios, incluidas APTs que presentan el desafío más formidable para el sector financiero, para eliminar el costo financiero de las violaciones de datos. Confía en Uncoder AI para elevar tus capacidades de defensa cibernética a escala mientras evitas el bloqueo de proveedores con la codificación de reglas Sigma racionalizada y la traducción bidireccional de consultas a 64 formatos de lenguaje de consulta SIEM, EDR, XDR, y Data Lake.