La empresa israelí de ciberseguridad Sygnia ha publicado un informe en el que se exponen las actividades de una operación mundial de robo financiero a la que ha bautizado como Elephant Beetle, según anunció la compañía el miércoles.
El equipo de Respuesta a Incidentes (IR) de Sygnia ha pasado dos años siguiendo al grupo de amenazas Elephant Beetle.
El informe explica que Elephant Beetle tiene como objetivo las aplicaciones Java heredadas que se ejecutan en máquinas basadas en Linux como medio de entrada inicial. Luego, a lo largo de varios meses, utiliza más de 80 herramientas y scripts únicos para ampliar discretamente su posición y estudiar los sistemas financieros internos de la organización comprometida.
En una tercera fase, Elephant Beetle introduce transacciones fraudulentas que oculta entre la actividad continua de la organización, robando hasta millones de dólares a lo largo del tiempo.
Debido a que se roban cantidades relativamente pequeñas en cada caso, el grupo de amenazas ha sido capaz de operar prácticamente sin ser detectado.
Las cantidades relativamente pequeñas de dinero robadas en cada instancia permiten al grupo de amenazas evitar las sospechas y operar prácticamente sin ser detectado, centrándose principalmente en el mercado latinoamericano.
Sygnia advierte que Elephant Beetle podría ampliar sus ataques a organizaciones de todo el mundo. Los expertos de la compañía ya han identificado una brecha en las operaciones latinoamericanas de una empresa con sede en Estados Unidos.
“Elephant Beetle es una amenaza importante debido a su naturaleza altamente organizada y al patrón sigiloso con el que aprende inteligentemente los sistemas y operaciones financieras internas de las víctimas”, afirma Arie Zilberstein, vicepresidente de Respuesta a Incidentes de Sygnia.
“Incluso después de la detección inicial, nuestros expertos han descubierto que ‘Elephant Beetle’ es capaz de pasar desapercibido, pero permanecer profundamente incrustado en las infraestructuras de una organización comprometida, lo que le permite reactivarse y seguir robando fondos en cualquier momento. Especialmente tras las vulnerabilidades generalizadas, como la de Log4j, que están dominando la conversación del sector, las organizaciones deben estar al tanto de este último grupo de amenazas y asegurarse de que sus sistemas están preparados para evitar un ataque”, advierte Zilberstein.