ACTUALIZACIÓN DE ROBIN BANKS

07/11/2022

BOLETÍN NRO 2022-641

Recientemente se ha detectado el regreso de Robin Banks en la cual sus desarrolladores están protegiendo la plataforma para que no sea descubierta por los investigadores.

 

Servicios Afectados

• Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA   En el pasado, los ciberdelincuentes necesitaban conocimiento y habilidades para desarrollar ataques desde cero. Sin embargo, en los últimos tiempos, estas barreras técnicas son cosa del pasado con el auge del sector clandestino del phishing como servicio. El PhaaS es un tipo de ciberdelincuencia organizada en la que los delincuentes ofrecen a través de internet, servicios de phishing a otros a cambio de dinero. Nuevamente Robin Banks sube a internet una plataforma de phishing como servicios (PhassS), alojada en una empresa de internet rusa. No obstante, dada esta fácil entrada en el campo de PhaaS para los desarrolladores, el mercado cada vez más saturado comenzará a motivar a las plataformas existentes a mejorar su oferta de productos e introducir nuevas funciones, como el robo de cookies, para seguir siendo competitivas. Dado que el robo de credenciales ofrece beneficios tanto a los ciberdelincuentes de bajo nivel que buscan obtener acceso a las cuentas bancarias de las personas o vender credenciales para obtener ganancias, como a los actores más estratégicos que buscan obtener acceso a las redes empresariales para ciberespionaje o ransomware, adaptar un kit de phishing para servir una audiencia más amplia puede ser un movimiento comercial inteligente para los ciberdelincuentes. Es probable que la nueva función de robo de cookies de Robin Banks sea un intento de esto: atraer a actores más sofisticados y persistentes establecidos en objetivos específicos comprometedores. Para más información sobre la plataforma que administra Robin Banks, consultar el Boletín Nro. 2022-639. Indicadores de Compromiso IP 185[.]61[.]137[.]142 185[.]38[.]142[.]28 Dominio adspect[.]ai 9dumbdomain1[.]ru 9dumbdomain2[.]ru dumb1[.]su ironnet[.]click ironpages[.]club robinbanks[.]su verify-fargo[.]info   HASH MD5: b1770bc7c4fb100a2109054e0e5bb66c SHA256: 10d25dd902a46d9c50908390227d971ca2b9ddb782b88c60daed051e2f16c942 MD5: ebe92965b925a10c21ce7b0f48b07456 SHA256: 8ad780fea4e64463f292ed232cabc9032844334ae070a5090c60e6528f4a69e4

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Robin Banks still might be robbing your bank (part 2).
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​