Symantec bloquea varios ciberataques a bancos y organizaciones, posiblemente ligados con Lazarus
Symantec ha bloqueado varios intentos de infección de clientes en Polonia, México y Uruguay. Estos intentos se enmarcan dentro de una ola de ataques que han sufrido organizaciones de 31 países, entre ellos docenas de bancos globales, desde octubre de 2016.
Los atacantes utilizaron websites comprometidas o “watering holes” para infectar objetivos preseleccionados con un malware desconocido hasta entonces. De momento, todavía no hay pruebas de que se hayan robado fondos de ninguno de los bancos afectados.
Estos ataques salieron a la luz cuando un banco en Polonia descubrió un malware desconocido anteriormente en algunos de sus ordenadores. El banco compartió indicadores de compromiso (ICO) con otras instituciones y varias de ellas confirmaron que ellos también habían sido comprometidos.
La fuente de los ataques parece haber sido un sitio web de un regulador financiero de Polonia. Los atacantes comprometieron la web para redirigir a los visitantes a un exploit kit que intentaba instalar malware en objetivos seleccionados.
El malware utilizado en los ataques (Downloader.Ratankba) no había sido identificado, pero fue detectado por Symantec bajo firmas de detección genéricas, asignadas para aglutinar cualquier archivo que participe de actividades maliciosas. Aunque el análisis del malware está todavía en proceso, algunas líneas de código incluidas eran comunes con el código del malware utilizado por el grupo criminal conocido como Lazarus.