Los hackers chinos han violado los sitios de apuestas y apuestas en línea


fichas de juego casino póker

Imagen vía Amanda Jones.

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Desde el verano de 2019, un grupo de piratas informáticos chinos profesionales ha estado atacando y pirateando empresas que administran sitios web de juegos de apuestas y apuestas en línea.

Según los informes publicados esta semana por las firmas de ciberseguridad Expertise-Soar y Development Micro, los hacks han sido confirmados oficialmente en las compañías de juegos de azar ubicadas en el sudeste asiático, mientras que los rumores no confirmados de hacks adicionales también han venido de Europa y Medio Oriente.

Talent-Bounce y Trend Micro dicen que los piratas informáticos parecen haber robado las bases de datos y el código fuente de la compañía, pero no dinero, lo que sugiere que los ataques se centraron en el espionaje, en lugar de estar motivados por el delito cibernético.

Las dos empresas de seguridad dijeron que los ataques habían sido llevados a cabo por un grupo al que llamaron DRBControl.

Pattern Micro dijo que el malware y las tácticas operativas del grupo se superponen con herramientas y tácticas similares utilizadas por Winnti y Emissary Panda, dos grupos de piratería que han llevado a cabo ataques durante la última década en interés del gobierno chino.

Actualmente, no está claro si DRBControl está llevando a cabo ataques en nombre de Beijing. Probablemente no. En agosto de 2019, la firma de ciberseguridad FireEye informó que algunos grupos de piratería patrocinados por el estado chino ahora están llevar a cabo ataques cibernéticos en el costado, en su tiempo libre, para sus propios beneficios e intereses, separados de sus operaciones normales patrocinadas por el estado.

DRBControl modus operandi

Los recientes ataques de DRBControl no son complejos ni únicos en lo que respecta a las tácticas que se utilizan para infectar a las víctimas y robar sus datos.

Los ataques comienzan con un enlace de spear-phishing enviado a los objetivos. Los empleados que caen en los correos electrónicos y abren los documentos que recibieron están infectados con troyanos de puerta trasera.

Estos troyanos de puerta trasera son algo diferentes de otras puertas traseras porque dependen en gran medida del servicio de alojamiento de archivos y uso compartido de archivos de Dropbox, que usan como servicio de comando y command (C&C) y como medio de almacenamiento para cargas útiles de segunda etapa y datos robados – De ahí el nombre del grupo de DRopBox Manage.

Por lo general, los piratas informáticos chinos usarán las puertas traseras para descargar otras herramientas de piratería y malware que usarán para moverse lateralmente a través de la pink de una empresa hasta que encuentren bases de datos y repositorios de código fuente desde donde puedan robar datos.

Las herramientas que DRBControl ha visto descargar y usar incluyen:

  • Herramientas para escanear en busca de servidores NETBIOS
  • Herramientas para llevar a cabo ataques de fuerza bruta
  • Herramientas para realizar omisiones de Home windows UAC
  • Herramientas para elevar los privilegios de un atacante en un host infectado
  • Herramientas para volcar contraseñas de hosts infectados
  • Herramientas para robar datos del portapapeles
  • Herramientas para cargar y ejecutar código malicioso en hosts infectados
  • Herramientas para recuperar la dirección IP pública de una estación de trabajo
  • Herramientas para crear túneles de tráfico de red a redes externas.

DRBControl ha infectado cientos de computadoras

Expertise-Jump dice que han podido vigilar de cerca las operaciones del grupo entre julio y septiembre de 2019.

Durante el intervalo respectivo, los piratas informáticos han infectado y rastreado alrededor de 200 computadoras a través de una cuenta de Dropbox, y otras 80 a través de un segundo.

Los ataques están en curso, y las dos empresas de seguridad han publicado indicadores de compromiso (COI) en sus informes (1, 2) que las organizaciones pueden usar para detectar actividad sospechosa o el malware de DRBControl.

Estos no son los primeros ataques a sitios de apuestas y apuestas en línea. En 2018, la seguridad informática de ESET informó que Los piratas informáticos respaldados por el estado de Corea del Norte habían atacado al menos un casino en línea en América Central de donde se cree que intentaron robar fondos.



Enlace a la noticia initial