CostaRicto APT
CostaRicto es el nombre que recibe un grupo de hackers que aparentemente opera como mercenario y ofrece sus servicios a sueldo. Sus actividades fueron detectadas por los expertos en seguridad de información de BlackBerry, que descubrieron una campaña de espionaje de gran alcance. Estos grupos de 'piratas informáticos a sueldo' están apareciendo cada vez más en el submundo del ciberdelito, ya que poseen capacidades y herramientas a la par de los grupos de amenazas persistentes avanzadas (APT) patrocinados por el estado, pero pueden operar a nivel mundial en múltiples sectores industriales. de acuerdo con las necesidades de sus clientes.
CostaRicto emplea un conjunto de herramientas de amenazas de malware personalizadas que fueron creadas por los propios piratas informáticos o se encargaron exclusivamente. En la campaña de ciberespionaje, los piratas informáticos desplegaron dos tipos de cargadores dependiendo de la arquitectura de la computadora objetivo, una cepa única de malware de puerta trasera llamada SombRAT, HTTP y stagers de carga útil de DNS inverso, un escáner de puertos 'nmap' y PsExec. Para los sistemas de 32 bits, los piratas informáticos utilizan CostaBricks, un cargador personalizado que implementa un mecanismo de máquina virtual que inicia un código de bytes responsable de la descripción, la carga en la memoria y la ejecución de la carga útil del malware. Si el objetivo utiliza un sistema de 64 bits, CostaRicto implementa un cargador diferente: el módulo de inyección de PE reflectante de PowerSploit.
La cadena de ataque comienza, muy probablemente, con el uso de credenciales recopiladas mediante phishing o simplemente compradas en la web oscura. Luego, CostaRicto configuró el canal de comunicación con la infraestructura de Comando y Control (C&C, C2) de la campaña, gestionada a través de la red TOR o un sistema de proxies. Para la comunicación dentro de la red comprometida, se crea un sistema de túneles SSH. Ciertos nombres de dominio que se encuentran codificados en las herramientas de malware de CostaRicto están diseñados para falsificar dominios legítimos: el dominio 'sbidb.net' dañado imita el dominio del State Bank of India Bangladesh, que es 'sbidb.com'. Un dato curioso que podría ser accidental es la reutilización de CostaRicto de una dirección IP que se ha observado en una campaña de phishing realizada anteriormente por otro grupo de hackers: el actor de amenazas APT conocido como APT28.
Al ser un grupo de piratas informáticos que ofrecen sus servicios al cliente que paga más alto, las operaciones de CostaRicto se pueden rastrear hasta víctimas en todo el mundo. Se han identificado objetivos en China, EE. UU., Australia, Austria, Países Bajos, Singapur, Francia, India, Mozambique, Singapur y Portugal. El único patrón que podría suponerse es una concentración ligeramente mayor de máquinas comprometidas en la región del sur de Asia.
