CIBERSEGURIDAD

La divulgación de la intrusión de Redbanc chilena conduce a lazos con Lázaro.

0 67 1 minuto de lectura

Por Vitali Kremez, director de investigación, Flashpoint



Los analistas de Flashpoint creen que la intrusión recientemente revelada sufrida en diciembre de 2018 por la red interbancaria chilena Redbanc involucró a PowerRatankba, un conjunto de herramientas de malware vinculado con el grupo Lazarus de amenazas persistentes avanzadas (APT) vinculado a Corea del Norte. Redbanc confirmó que el malware se instaló en la red corporativa de la empresa sin activar la detección del antivirus; sin embargo, la amenaza se ha mitigado desde entonces y no afectó las operaciones, los servicios o la infraestructura de la empresa.

Esta intrusión representa el último ejemplo conocido de la implementación de herramientas afiliadas a Lazarus dentro de una actividad motivada financieramente dirigida a instituciones financieras en América Latina.

Intrusión de Redbanc chilena: vector de ataque inicial informado
Según informes recientes, la intrusión se produjo debido a un malware entregado a través de un profesional de TI de Redbanc de confianza que hizo clic para postularse a una oferta de trabajo encontrada a través de las redes sociales. La persona que parecía haber publicado el puesto vacante se puso en contacto con el solicitante de Redbanc para concertar una breve entrevista, que tuvo lugar poco después en español a través de Skype. Como nunca había expresado ninguna duda sobre la legitimidad del puesto vacante, la solicitud o el proceso de entrevista, el solicitante fue finalmente engañado y sin saberlo para que ejecutara la carga útil.

La muestra de referencia conduce a la norcoreana Lazarus «PowerRatankba»

En las muestras de referencia pública atribuidas a la intrusión de Redbanc, los analistas de Flashpoint identificaron la muestra del cuentagotas como relacionada con el malware Lazarus PowerRatankba. El cuentagotas es un ejecutable compilado de Microsoft Visual C # / Basic .NET (v4.0.30319) que contiene la lógica para llamar al servidor y descargar una herramienta de reconocimiento PowerRatankba PowerShell. La marca de tiempo del malware muestra la posible hora de compilación del miércoles 31 de octubre de 2018 a las 00:07:53 UTC con la base de datos del programa como F: 05.GenereatePDF CardOffer salary salary obj Release ApplicationPDF.pdb.

El cuentagotas muestra un formulario de solicitud de empleo falso mientras descarga y ejecuta PowerRatankba. La carga útil no estaba disponible en el servidor durante el tiempo del análisis, pero se recuperó del espacio aislado en el momento del análisis. Esto permitió a los analistas crear un escenario probable de cómo funcionaba la cadena de malware.

Publicaciones relacionadas

1.3 millones de cuentas de Havenly filtradas en línea

Los jugadores pueden bloquear las computadoras de los oponentes con fallas de transmisión

Personas que nos han cautivado durante más de 25 años

Respuesta a incidentes: ¿Qué tan tarde es demasiado tarde?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar