Gruparea BeagleBoyz atacă bănci din peste 30 de state

Gruparea de criminalitatea cibernetică BeagleBoyz atacă băncile din peste 30 de țări din întreaga lume.

Study for Mr. Kim by Augustin Răzvan Radu. Courtesy of 1001arte.ro

O grupare nord-coreeană de criminalitate cibernetică, cunoscută sub numele de BeagleBoyz, compromite rețelele de calculatoare ale băncilor din întreaga lume și fură bani prin transferuri frauduloase. De asemenea, gruparea efectuează atacuri directe, la bancomate. Aceste aspecte au fost semnalate într-o declarație comună (26.08.2020) a patru agenții federale americane, printre care se numără FBI, Agenția de Securitate și Infrastructură Cibernetică (CISA) și Trezoreria SUA.

“Din februarie 2020, Coreea de Nord a reluat atacurile asupra băncilor din mai multe țări pentru a efectua transferuri internaționale frauduloase și încasări la bancomate”, se menționează în documentul respectiv.

BeagleBoyz este asociată așa-numitului “Birou 121”, unitatea de intelligence responsabilă pentru majoritatea operațiunilor cibernetice ilicite ale regimului lui Kim Jong-un. Cel mai probabil, gruparea este activă din anul 2014. Activitățile acesteia coincid cu cele ale altor grupări similare, fiind vorba despre APT38, Bluenoroff, Lazarus Group și Stardust Chollim.

Statele afectate de gruparea BeagleBoyz

Potrivit declarației, BeagleBoyz este organizatorul unui atac cibernetic de mare anvergură asupra Băncii Centrale a Bangladeshului, precum și a unei campanii de hacking numită FASTCash, activă din 2016.

Lista țintelor grupării include bănci din peste 30 de țări. BeagleBoyz folosește o varietate de instrumente și tehnici pentru a accesa rețelele vizate, de exemplu atacurile de tip phishing sau ingineria socială.

BeagleBoyz. Modus operandi.

În câteva cazuri, BeagleBoyz s-a folosit de serviciile altor grupări de hackeri, precum TA505.

Pe lângă bănci, BeagleBoyz este interesată și de bursele de monedă virtual.

Anterior, Armata SUA a publicat un ghid intern ce conține detalii despre subdiviziunea secretă a hackerilor din Armata nord-coreeană. Conform raportului, așa-numitul “Birou 121”, o unitate a Direcției de Informații a Statului Major General al APC, este responsabil pentru majoritatea operațiunilor militare cibernetice. Acesta a crescut semnificativ în ultimii ani, pe măsură ce Phenianul și-a extins operațiunile în mediul virtual. Așadar, dacă în 2010 “Biroul 121” număra 1.000 de hackeri bine pregătiți, acum numărul lor a depășit 6.000. Multe dintre operațiunile hackerilor nord-coreeni sunt efectuate de pe teritoriul Bielorusiei, Rusiei, Chinei, Indiei și Malaeziei.

În străinătate, hackerii nord-coreeni înregistrează companii-fantomă care servesc drept acoperire pentru infrastructură malițioasă de server și operațiuni de spălare de bani, se mai menționează în documentul Armatei SUA.

Impactul COVID-19 asupra criminalității cibernetice

Interpol a publicat o analiză a impactului pandemiei COVID-19 asupra criminalității informatice, evidențiind creșterea volumului de informații false și neverificate (fake news).

Fostul șef Interpol - 13,5 ani de închisoare pentru corupție ...

 

“Creșterea din prezent a numărului de infracțiuni informatice este foarte probabilă și în viitorul apropiat. Vulnerabilitățile asociate cu munca la domiciliu îi va determina pe infractorii cibernetici să își intensifice activitatea și să inventeze scheme ilicite tot mai complexe”, se menționează în raport.

“Va crește în continuare numărul emailurilor de tip phishing legate de diferite produse medicale și cel al atacurilor cibernetice asupra rețelelor corporative, infractorii vizând furtul de date și informații. Hackerii și-au ajustat în mod semnificativ scopurile. Aceștia s-au reorientat către corporații, guverne și site-urile asociate infrastructurii critice”, au menționat oficialii Interpol.

Pe fondul pandemiei COVID-19, numeroase companii private au decis să treacă la sistemul “work-from-home”, însă nu toate au putut oferi un nivel adecvat de protecție cibernetică.

Potrivit analizei, “la nivelul primului trimestru al anului 2020, partenerii Interpol au raportat organizației 907.000 de mesaje spam (59% din sesizări), 737 infecții cu malware (36%) și 48.000 de link-uri către domenii malițioase, conexe tematicii COVID-19 (22%)”.

În cazul mesajelor spam, infractorii au solicitat datele personale ale utilizatorilor, trimițând scrisori în numele autorităților sau organizațiilor cu competențe în domeniul combaterii pandemiei.

De asemenea, au crescut cazurile de utilizare a trojenilor și a altor viruși creați pentru colectarea de date și golirea conturilor bancare.

Atacurile DDoS și utilizarea programelor malițioase ce blochează stațiile de lucru în vederea deblocării contra răscumpărării au devenit mult mai frecvente. Buletinele informative false pe tema coronavirusului sunt de asemenea utilizate ca momeală.

Interpol indică un volum crescut de informații false și neverificate (fake news), care se răspândesc în societate pe fondul fricii și incertitudinii legate de pandemie.

La pachet cu dezinformarea, infractorii cibernetici folosesc diferite scheme frauduloase pentru a-și vinde produsele medicale contrafăcute. Astfel, 14% din numărul total de sesizări venite din partea partenerilor organizației au fost legate de acest subiect.

Bitfinex: 400 milioane de dolari pentru monedele bitcoin furate

Platforma de tranzacţionare a bitcoin Bitfinex promite să plătească 5% din suma furată persoanei care o va ajuta să intre în legătură cu hackerii responsabili de furtul a 119.755 bitcoins.

Sigla Bitfinex

Bitfinex și-a anunțat disponibilitatea de a aloca 5% din suma furată celor care vor ajuta la contactarea hackerilor. Mai mult, Bitfinex este gata să ofere chiar hackerilor înșiși 25% (echivalentul a circa 400 milioane de dolari) din sumă dacă aceștia vor returna fondurile furate.

În dimineața zilei de 2 august 2016, hackeri rămași necunoscuți au intrat în sistemul Bitfinex și, realizând 2.072 de tranzacții ilicite, au retras 119.755 bitcoins.

“Prezentul anunț cu privire la recompensă este cel mai recent efort de a ne recupera fondurile furate. (…) Recompensa va fi considerată drept cost de recuperare a proprietății furate. Suntem încântați să oferim această recompensă ca o dovadă în plus a hotărârii noastre de a ne recupera proprietatea pierdută”, se menționează pe site-ul Bitfinex.

Această declarație a Bitfinex are probabil la bază două motive. În primul rând, la 2 august s-au împlinit 4 ani de la incident. În al doilea rând, hackerii implicați s-au reactivat recent. Astfel, la 3 august, dintr-un portofel virtual asociat hackerilor a fost realizat un transfer în valoare de 620 de  bitcoins, această tranzacție fiind sesizată de botul Whale Alert de pe platforma Twitter.

La 28 iulie a.c., compania Chainalysis, specializată în analize privind monedele virtuale, a raportat că numărul de  bitcoins asociați activităților ilegale a ajuns la 892 de mii.

Majoritatea  bitcoins “murdari” (585 de mii) circulă pe forumuri ilicite de pe darkweb, unde se comercializează substanțe interzise, ​​date personale furate, armament, etc.

În anul 2019, oamenii legii din Israel au arestat doi frați suspectați de hacking pe platforma Bitfinex și de efectuarea de atacuri tip phishing. Potrivit poliției, atacatorii, Eli și Assaf Gigi, au reușit să fure bitcoins în valoare de zeci de milioane de dolari.

O clonă a site-ului Privnote.com fură bitcoin

Site-ul Privnotes.com, promovat de operatorii săi ca Privnote.com, înlocuiește în mesaje adresele portofelelor bitcoin.

Site-ul fraudulos Privnotes.com funcționează de aproximativ un an. Operatorii acestui site îl promovează asiduu drept Privnote.com, platformă ce oferă legal servicii gratuite de mesaje criptate care se distrug automat după citire.

Jurnalistul Brian Krebs, specializat în  investigarea criminalității informatice, a urmărit clona mult timp, până când i-a descoperit scopul adevărat. Astfel, dacă într-un mesaj este indicat un portofel bitcoin, atacatorii îl înlocuiesc cu portofelul lor (cu excepția cazului în care adresa IP a destinatarului și a expeditorului coincid, adică utilizatorul și-a trimis singur mesajul).

Dezvoltatorii Privnote.com au reclamat escrocheria. Site-urile pot fi încurcate foarte ușor pentru că denumirea lor diferă printr-o singură literă, iar designul este aproape la fel. De asemenea, căutarea pe Google returnează clona printre primele rezultate. Cu toate acestea, clona nu funcționează ca originalul. Site-ul adevărat criptează mesajele astfel încât nimeni altcineva, nici chiar site-ul însuși, să nu le poate decripta. In plus, Privnote.com nu trimite și nu primește mesaje: după scrierea mesajului, el creează un link care se distruge după citire.

Potrivit creatorilor site-ului original, site-ul fraudulos nu criptează corect mesajele utilizatorului și le poate citi și modifica. Mai mult, Privnotes.com utilizează un script automat pentru a căuta portofele bitcoin și a le înlocui cu portofelul infractorilor:

Dacă același portofel bitcoin apare de mai multe ori în corespondență, pentru a evita descoperirea escrocheriei, scriptul o înlocuiește doar în primul mesaj.

Malware-ul Valak fură date corporative utilizând servere Microsoft Exchange

Experții companiei Cyberreason Nocturnus au publicat un raport potrivit căruia Valak, descoperit și clasificat în anul 2019 ca încărcător de malware, poate fi utilizat în prezent drept malware independent, acesta vizând atât persoane, dar mai ales companii.

Valak se răspândește prin atacuri tip phishing și documente Microsoft Word ce conțin macro-uri dăunătoare.

valak-1

Astfel, dacă Valak a intrat în sistem, un fișier .DLL intitulat U.tmp este descărcat în mașina infectată și salvat într-un folder temporar. Apoi se execută WinExec API și se încarcă un cod JavaScript, stabilindu-se astfel conexiunea cu serverele de gestionare. După aceea, fișiere suplimentare sunt descărcate în gazda infectată, fiind decodate cu Base64 și XOR.

Valak-45

Pentru a se instala și mai temeinic într-un sistem compromis, malware-ul aduce modificări regiștrilor și generează o sarcină programată, Valak continuând să descarce și să ruleze modulele responsabile pentru detectarea și furtul datelor.

Cele două playload principale (project.aspx și a.aspx) îndeplinesc funcții diferite. Prima gestionează cheile de registru, programarea sarcinilor și activitatea dăunătoare, iar a doua (nume intern PluginHost.exe) reprezintă un fișier executabil pentru gestionarea componentelor suplimentare ale malware-ului.

Modulul ManagedPlugin are o varietate de funcții: colectează informații despre sistem (date locale și domenii), are o funcție Exchgrabber al cărei scop este să pătrundă Microsoft Exchange prin furtul de credențiale și certificate de domeniu, are funcție de verificare a geolocalizării și captură de ecran; conține un instrument Netrecon pentru inspectarea rețelei.

Valak-29

Furtul datelor confidențiale oferă atacatorilor accesul la utilizatorul domeniului intern, adică acces la serviciile de poștă internă ale respectivei organizații, precum și acces la certificatul de domeniu al acesteia.

Valak-51

Deținând systeminfo, atacatorii pot să-și dea seama care utilizator este administratorul domeniului, aparând riscul scurgerilor de date confidențiale sau cyber spionaj. Acest aspect demonstrează că malware-ului Valak vizează în primul rând întreprinderile.

Sursa: https://xakep.ru/2020/05/28/valak/