NCC Group ha publicado recientemente los resultados de la investigación realizada por su grupo denominado ‘Research and Intelligence Fusion Team’ (RIFT), en la que comparte los resultados acerca de RM3, una variante avanzada del programa maligno que afecta a la banca de la familia conocida como Gozi. Entre otros descubrimientos, han comprobado que Oceanía es el principal objetivo de los hackers.
Las variantes Gozi, que tienen en su punto de mira a instituciones financieras, son controlados por multitud de grupos de ciberataque. Habitualmente, provocan pérdidas financieras con transacciones fraudulentas, o facilitando otro tipo de actividad maliciosa como el cibersecuestro.
En el 2017, la variante RM3 fue detectada con un mayor número de modificaciones respecto a la principal variante previamente conocida: incluye un nuevo RM, un exclusivo diseño de formato de archivo PE, una arquitectura modular, una nueva red de comunicación y nuevos módulos.
En Oceanía, los grupos de ciberataque parecen tener una gran experiencia y emplean medios tradicionales para realizar fraude y robo.
El equipo ‘Research and Intelligence Fusion Team’ identificó 136 instituciones financieras que habían sido objeto de ataques con RM3 desde el 2017. Alrededor de dos tercios de esas instituciones financieras están situadas en Oceanía, un 21 por ciento en el Reino Unido y un 12,5 por ciento en Italia. Más del 90% de las instituciones financieras que fueron objeto de ciberataques fueron bancos, seguidas por servicios de encriptación (cuatro por cierto), tiendas en línea (uno por cierto), webs de búsquedas de empleo (uno por cierto) y webs de préstamos (uno por cierto).
El modus operandi cambia según la región
Según la investigación del ‘Research and Intelligence Fusion Team’, en los últimos 30 meses el empleo de RM3 ha sido drásticamente diferente en Oceanía y Europa.
En Oceanía, los grupos de ciberataque parecen tener una gran experiencia y emplean medios tradicionales para realizar fraude y robo. La investigación indica también que los métodos son más avanzados que los habituales en los softwares malignos, lo que sugiere que los responsables son más sofisticados y experimentados.
En Europa el comportamiento es diferente: los hackers usan una estrategia de fraude de manual. Christo Butcher, Líder del Global Business Unit de la empresa NCC Group, comenta lo siguiente al respecto: “A lo largo de los años, hemos visto la disrupción que un software maligno bien realizado puede provocar, sobre todo en industrias como la del sector financiero, que están habitualmente en el punto de mira. RM3 es una variante muy sofisticada, en la que los responsables del ciberataque se focalizan en organizaciones de todo el mundo usando métodos individualizados, así que es importante que los bancos y otras instituciones financieras tengan activadas robustas medidas de seguridad.
Puedes leer el informe completo en este enlace.
