Los hackers freelance son como mercenarios de élite y muy caros. Son contratados para realizar ataques a empresas de todo el mundo.

Los investigadores de seguridad de Blackberry han informado de una campaña “Hackers for Hire” (HfH). Utilizaron malware previamente desconocido para atacar instituciones financieras de todo el mundo.

La campaña denominada CostaRicto, está organizada por piratas informáticos que poseen malware y capacidades sofisticadas de proxy VPN y tunelización SSH.

Hackers freelance internacionales

“Los objetivos de CostaRicto se encuentran dispersos por Europa, América, Asia, Australia y África. Pero la mayor concentración se encuentra en el sur de Asia (especialmente India, Bangladesh y Singapur). Esto sugiere que la fuente de la amenaza pudo estar basada en esta región, pero vendió sus servicios ilegales en el mercado negro internacional a quienes ofrecerían el precio más alto ”, señalaron los expertos.

Después de obtener acceso al entorno de la víctima utilizando credenciales robadas, los atacantes proceden a configurar un túnel SSH para descargar la puerta trasera y el cargador de arranque de CostaBricks. Implementa el mecanismo de la máquina virtual C ++ para decodificar e inyectar la carga útil en la memoria. La puerta trasera es un archivo ejecutable compilado en C ++ llamado SombRAT. Está equipado con 50 comandos diferentes para realizar tareas (básicas, administrador de tareas, configuración, almacenamiento, depuración, redes) que van desde inyectar archivos DLL maliciosos en la memoria hasta enumerar los archivos almacenados y enviar los datos capturados a un servidor controlado por el atacante.

En total, se han identificado seis versiones de SombRAT. La primera data de octubre de 2019, y la última versión se descubrió en agosto de este año.

Aunque aún se desconoce la identidad de los atacantes, una de las direcciones IP en las que se registraron los dominios de puerta trasera estaba vinculada a una campaña de phishing atribuida al grupo ciberdelincuente APT28. También conocido como Fancy Bear. Sin embargo, los propios investigadores de BlackBerry creen que es poco probable que exista un vínculo directo entre CostaRicto y APT28. La coincidencia de IP puede ser una coincidencia, o las campañas de phishing se entregaron a mercenarios en nombre del atacante.