Existe un grupo de ciberdelincuentes con el nombre de Hackers Silenciosos, este es uno de los grupos de más activos que se especializa en el sector financiero. Inicialmente este grupo atacaba a Rusia, pero hoy en día el grupo expandió sus ataques geográficamente.

El informe que compartió Group-IB con GBHackers on Security admite que el grupo de hackers infecto a más de 30 países de América, Europa, África y Asia.
Este grupo de ciberdelincuentes ha cambiado las herramientas que utilizaba para no ser detectado junto con su alfabeto de cifrado, cifrado de cadenas y comandos para el bot y el modulo principal.

Se piensa que el grupo robo más de 4, 2 millones de dólares estadounidenses entre junio de 2016 y julio de 2019.

Los hackers de silencio también utilizan el phishing como uno de sus ataques. Los correos electrónicos que envían este grupo está compuesto por una imagen o un enlace sin carga maliciosa, de esta manera ya han enviado a 85,000 de usuarios.

En octubre de 2018, este grupo comenzó a usar los correos que enviaba masivamente para obtener una lista actualizada de las direcciones de correos electrónicos activa y para obtener herramientas de ciberseguridad utilizadas en las empresas.

De esta manera ya llevan tres campañas utilizando el método de los correos electrónicos. Las campañas no se centraban solo en Rusia, sino que se extendieron por países como Asia y Europa. Ya han enviado más de 170,000 correos electrónicos de reconocimientos.

Captura666

Herramientas y tácticas

Este grupo utiliza las mismas tácticas, todavía usan documentos de Microsoft Office con un macros o exploits, archivos CHM y atajos de LNK como archivos adjuntos maliciosos.

El triunfo del ataque depende de la infección inicial, el cargador esencial es Silence.Downloader (conocido como TrueBot), Group-IB también observó el cargador PowerShell sin archivos de los actores de amenazas llamados Ivoke.

Silence.Main es la principal carga, contiene un conjutno de comandos C&C que se utilizan para controlar la computadora y descargar módulos adicionales.

El grupo Silence descarga un agente de PowerShell basado en el esquema de código abierto Empire y dnscat2, también descarga otros servicios proxy para tapar la comunicación de C&C.

El nivel final de ataque es poder adquirir control de los cajeros automáticos, este grupo utiliza el troyano Atmosphere que fue creado por ellos u otro programa llamado xfs-disp.exe para distribuir efectivo de los cajeros automáticos.

El grupo IB revelo en su análisis que FlawedAmmyy.Downloader y Silence.Downloader fue desarrollado por la misma persona y que su desarrollador es tiene alguna relación con el idioma ruso, también este trabaja en plataformas subterráneas. Los investigadores también pensaban que el desarrollador estaba vinculado a los ataques TA505.