BRATA (“Brazilian Remote Access Tool Android”) es un malware para Android que se detectó por primera vez a finales de 2018 en Brasil, el cual se hacía pasar por un antivirus como patrón de ataque. Recientemente se definieron tres variantes principales de BRATA, que aparecieron durante dos momentos diferentes a finales de 2021. Sin embargo, durante los últimos meses, se ha observado un cambio en el patrón de ataque comúnmente utilizado.
De hecho, por su forma de operar, BRATA, se está transformando en una Amenaza Persistente Avanzada (APT), término que se utiliza para describir una campaña de ataque, en la que los delincuentes establecen una presencia a largo plazo en una red específica, para robar información confidencial.
En este proceder, los cibercriminales detrás de BRATA, se dirigen a una institución financiera específica a la vez y cambian su enfoque solo una vez que la víctima objetivo comienza a implementar contramedidas consistentes contra ellos. Luego, se alejan del centro de atención, solo para regresar enfocando sus ataques a un nuevo objetivo con estrategias de contagios diferentes.
Es importante mencionar que una vez que surge una nueva versión de BRATA, también hay nuevas características que la hacen más peligrosa. Durante los últimos meses, una nueva variante (BRATA.A) ha sido detectada en Europa haciéndose pasar por aplicaciones bancarias específicas, incluyendo algunos cambios, como:
- Una nueva técnica de phishing que se encarga de imitar una página de inicio de sesión del banco objetivo.
- Nuevas funciones para adquirir permisos de administración de dispositivos como GPS, superposición y SMS.
- Transferencia lateral de un fragmento de código y su respectiva descarga para el registro de eventos.
Confirmando lo anterior, BRATA está modificando su código para adaptar su malware a instituciones bancarias específicas. Este código en realidad presenta pequeños cambios en comparación con las versiones anteriores, ya que hay varias funcionalidades que se han agregado para propósitos muy específicos, por ejemplo, un simulador que disfraza una página de inicio de sesión clásica para recopilar credenciales de usuarios desprevenidos, así como funciones para solicitar permisos adicionales durante fases de fraude posteriores en los que están en uso la administración de dispositivos, gps, superposición, SMS, entre otros.
Otra de las actualizaciones que ha recibido esta nueva versión es en la modificación de ataque, que ahora es capaz de hacerse pasar por instituciones financieras en cuanto el usuario intenta tomar contramedidas contra el malware. Y esto, le permite suplantar la página de inicio de sesión de la institución financiera, incluso, durante el acceso a los mensajes SMS.
Cabe señalar que a partir de junio de 2021, se observó una evolución ininterrumpida tanto del malware como de las metodologías de ataque utilizadas. Las primeras campañas de malware se distribuyeron a través de falsos antivirus u otras aplicaciones comunes, mientras que durante las campañas, el malware se convierte en un ataque APT contra el cliente de un banco específico.
La Amenaza Persistente Avanzada parece ser el patrón de ataque que el grupo cibercriminal detrás de BRATA va a utilizar durante 2023 y que estará centrado en entregar aplicaciones maliciosas dirigidas a un banco específico, durante un par de meses, para luego pasar a otro objetivo.
Objetivo: Sector bancario y financiero
Los ciberdelincuentes apuntan a las finanzas más que a cualquier otra industria. En 2021, los cibercriminales irrumpieron en las redes de los principales bancos, dándoles acceso a la información personal y los datos financieros de los clientes.
Todos los datos pueden ser útiles para los delincuentes, pero la información que los bancos y otras instituciones financieras guardan (estados de cuenta, tarjetas de crédito y números de seguro social) proporciona una utilidad inmediata para los ciberdelincuentes. Esta configuración los convierte en objetivos atractivos para los atacantes que desean ganar dinero con la información que roban. Y de igual forma, el mayor uso de dispositivos IoT difíciles de proteger por parte de las instituciones financieras hace que estas redes sean aún más difíciles de mantener seguras.
Más del 25% de todos los ciberataques tienen como objetivo las instituciones financieras. Si administra una organización financiera, necesitará defensas sólidas y buenas prácticas de seguridad para mantener a salvo la información del cliente y los datos de la empresa.
Sin embargo, las ciberdefensas a nivel de red solo pueden llegar hasta cierto punto. Muchas instituciones financieras tienen sistemas a los que acceden regularmente los empleados que no necesariamente tienen habilidades técnicas sólidas. Algunos de sus empleados también pueden trabajar sobre la marcha, lo que significa que accederán periódicamente a las redes de la empresa y a la información confidencial con dispositivos personales, utilizando conexiones de terceros que tienen menos probabilidades de ser seguras. La capacitación en seguridad puede ayudar a sus trabajadores a reconocer los signos de las ciberamenazas comunes y a responder de manera adecuada.
México en riesgo
De acuerdo con la unidad de investigación de SILIKN, comparado con 2021, en el primer semestre de 2022 se incrementaron en 41.9% los intentos de ciberataques por semana contra organizaciones de diferentes sectores.
Los estados en México con más ataques fueron:
- CDMX (22%)
- Jalisco (18%)
- Nuevo León (12%)
- Puebla (7%)
- Guanajuato (7%)
- Estado de México (6%)
- Michoacán (5%)
- Morelos (5%)
- Veracruz (3%)
- Otros (15%)
En México, durante el primer semestre de 2022, el sector que experimentó el mayor volumen de intentos de ataques, fue el gobierno, con un promedio de 3,638 por semana (con un incremento del 67.1% con respecto a 2021).
Pero, en este mismo sentido, el sector bancario, presentó un incremento de 32.4% en ciberataques semanales — comparando el primer semestre de 2022, con respecto al 2021 — .
Los bancos y servicios financieros, que ya son los principales objetivos de los ataques cibernéticos en tiempos de paz, deberán incrementar el monitoreo de sus redes, analizar escenarios de ataques cibernéticos, buscar amenazas y malware en sus redes, actualizar e instalar los parches de seguridad en sus sistemas, examinar vulnerabilidades potenciales, desplegar sus procedimientos contra una posible crisis por ciberataque y capacitar a su personal en temas de ciberseguridad contra posibles actividades hostiles.
Entre las amenazas para las cuales deben estar preparados están los ataques de ransomware y diseminación de malware; ataques de denegación de servicio distribuido; troyanos y malware bancarios, así como el borrado y robo de datos.
Por Víctor Ruiz, fundador de SILIKN.