Una entrevista con el investigador Matías Porolli, quien ha estado manteniéndose al tanto de las nuevas actividades de Evilnum, un grupo cibercriminal que apunta a las empresas de tecnología financiera (FinTech).
Las cuarentenas instaladas a partir de la pandemia de COVID-19 han afectado indudablemente cómo la gente interactúa con su dinero. Recortes en los gastos destinados usualmente a vacaciones y viajes, así como las tendencias de desempleo, han cambiado las prioridades monetarias y su uso. Algunos se han enfocado en pagar deudas, otros están tomando hipotecas con altas tasas de interés y otros han vuelto incluso a guardar dinero bajo el colchón. Otros han acudido a la compraventa de acciones, una escena que no es ajena a las bandadas de aficionados recién acuñados que inundan las plataformas comerciales populares y obtienen una influencia cada vez mayor incluso contra inversores veteranos.
Pero lo que los comerciantes novatos quizás no sepan es el valor que tienen sus datos y dinero en el juego de las ganancias. Inscribirse en una plataforma de intercambio de acciones significa obedecer a las regulaciones de Conocer a tu Cliente y compartir datos personales. ¿Qué tan seguros son tus datos y qué tan lucrativo es si son filtrados o robados?
Grupos cibercriminales como Evilnum se mantienen muy activos hoy en día, siendo una gran amenaza al dinero, seguridad y privacidad. Nos sentamos a hablar con el investigador Matías Porolli para que nos pueda contar más sobre el asunto.
¡Bienvenido, Matías! Antes de meternos de lleno en tu investigación sobre Evilnum, ¿Podrías contarnos un poco sobre tus investigaciones más recientes?
¡Gracias por la invitación! Usualmente estoy rastreando actividades maliciosas que afectan a Latinoamérica. Recientemente publiqué un informe sobre la Operación Spalax, ataques de malware dirigidos a agencias de gobiernos colombianos, así como a empresas privadas en ese país. También estoy trackeando actividades del grupo Evilnum, ya han demostrado estar muy activos últimamente.
¿Qué fue lo primero que llamó tu atención de las actividades del grupo Evilnum?
Todo comenzó cuando estaba monitoreando algunos feeds que tenemos en nuestro laboratorio, basados en los datos telemétricos de ESET. Inicialmente, encontré una nueva versión de uno de los componentes maliciosos que habían sido detectados por algunos proveedores de seguridad. Esto y el hecho de que el malware solo fue visto en menos de 10 de las redes de nuestros clientes me dio la idea de que era un ataque dirigido, eso llamó mi atención.
Luego de un análisis más profundo del malware, noté que algunos investigadores ya habían escrito sobre él. Sin embargo, no se había dicho mucho sobre el grupo en sí mismo o sus objetivos. A medida que fui encontrando componentes y herramientas utilizadas por este grupo, pude confirmar que sus ataques estaban dirigidos a compañías de FinTech y que tenían una infraestructura más grande que la que estaba descripta antes de mi informe.
¿Por qué las empresas de FinTech deberían cuidarse especialmente de este grupo en particular?
Las compañías de FinTech deberían cuidarse porque este grupo ha estado operando por años y todavía está activo. Esto significa que tuvieron suficiente éxito para sostener sus operaciones. Este grupo apunta a sus objetivos con mails de spear phishing (es decir, de phishing personalizado específicamente para esas empresas) en los cuales pretenden ser potenciales clientes de varias plataformas de FinTech. Se aprovechan de las regulaciones Conoce a tu Cliente que requiere que estas empresas verifiquen documentos diariamente. Es importante que las compañías de FinTech sean conscientes de estos ataques y que chequeen que los documentos que reciben son realmente los requeridos y no archivos que ejecutan malware.
¿Por qué crees que el grupo Evilnum, y sus maliciosos contemporáneos, ven a las FinTech como una mina de oro?
En general, las compañías FinTech manejan un gran volumen de dinero en inversiones y operaciones comerciales, así que tener acceso a esta información es muy redituable par estos grupos. Incluso si no utilizan la información robada de forma directa, en algunos casos estos grupos están contratados o venden la información a terceros.
También es posible que su alta tasa de éxito y conocimiento del sector los motive a seguir operando con blancos específicos.
Desde que tu investigación fue publicada en julio del 2020, los investigadores de Kaspersky publicaron luego algunas conexiones entre Evilnum, Janicab y Powersing ¿Qué tipo de conexión de familias de malware como estas has descubierto?
Janicab y Powersing son familias de malware que tienen como objetivos otros sectores económicos, como las firmas de abogados. Luego de nuestra publicación sobre Evilnum, los investigadores de Kaspersky escribieron sobre algunas similitudes que encontraron en cómo estas tres familias de malware actúan. Se agruparon en tres campañas, con mediana confianza, en un grupo común de contratación de hackers llamado DeathStalker.
Lo que he visto en mi investigación es que el grupo Evilnum ha utilizado herramientas de un Servicio de Malware (MaaS por sus siglas en inglés) de un proveedor llamado Golden Chickens. Este proveedor de MaaS parece ser bastante popular entre criminales que apuntan al sector financiero, y otros grupos infames como FIN6 son sus clientes.
El grupo detrás del malware de Evilnum parece mantenerse activo en desarrollar nuevas herramientas, actualizar las viejas, utilizar herramientas públicamente activas e incluso alquilar otras ¿Qué revela esta inversión diversa en herramientas por parte de Evilnum?
Significa que sus actividades criminales son lo suficientemente redituables para que puedan invertir parte de sus ganancias en herramientas personalizadas, nueva infraestructura (servidores, dominios) y actualización continua de sus herramientas más viejas. Esto no e solamente cierto en el caso de Evilnum, sino también de otros grupos que apuntan a las compañías FinTech.
En septiembre del 2020, los investigadores del Cyberseason publicaron un informe sobre una nueva cadena de infección que estaba siendo utilizada por el grupo Evilnum para eventualmente lanzar una nueva RAT Python llamada PyVil. En 2021 vimos ataques con nuevas versiones de PyVil, así como nuevas versiones de malware de JavaScript que describimos en julio del 2020.
¿Qué deberían hacer los equipos de seguridad de las FinTech para detectar y defenderse de las posibles infiltraciones de Evilnum en las redes de su compañía?
La primera batalla consiste en ser conscientes de los riesgos y adversarios. Es importante estar bien informados. Entonces mi recomendación es consultar fuentes públicas de información como por ejemplo la de nuestro blog WeLiveSecurity, o nuestro Twitter.
Por supuesto, también hay casos donde surgen nuevas amenazas por lo cual es importante tener buenas soluciones de seguridad que puedan detectar conductas maliciosas para bloquear ataques proactivamente. Los equipos de seguridad maduros pueden utilizar detección de endpoints y soluciones que respondan bien como ESET Endpoint Security para identificación de amenazas y solución exitosa.
¡Gracias, Matías!