LOGOTD2016 2

Martes 22 de Mayo de 2018

+57(1) 361 87 14

Decenas de bancos pierdieron millones por ataques de cibercriminales

En el 2015 vimos el auge de los robos bancarios realizados por cibercriminales.

Varios grupos han logrado dominar las técnicas y herramientas APT y "echar mano al bolsillo" de, al menos, veintinueve de los bancos más importantes de Rusia.

Las víctimas pidieron ayuda a Kaspersky Lab y nuestro equipo de Investigación y Análisis global se puso manos a la obra. La investigación reveló tres grupos de cibercriminales diferentes que causaron a los bancos daños económicos multimillonarios. En la Security Analyst Summit 2016, los expertos de GReAT divulgaron el informe de su investigación. Por el bien y la seguridad de las víctimas, sus nombres no fueron revelados.

 

Cajeros automáticos a punta de pistola

 

En el 2011 se descubrió un troyano bancario con el pegajoso nombre de Metel (también conocido como Corlow): en ese momento el malware estaba dirigido a los usuarios de los sistemas bancarios. En el 2015, los criminales que estaban tras Metel dirigieron sus ataques a los bancos, en concreto a los cajeros automáticos. Con sus habilidades y una campaña maliciosa, estos criminales lograron eliminar las limitaciones de las tarjetas de crédito. Imagínate, mejor que imprimir billetes.

 

¿Cómo lo hicieron?

 

Los criminales infectaron con éxito las computadoras de los empleados de los bancos mediante correos electrónicos de spear phishing que incluían archivos ejecutables maliciosos, o a través de las vulnerabilidades de los navegadores. Una vez estando dentro de la red, utilizaban software legítimo para acceder a otros PCs hasta llegar al dispositivo que estaban buscando, el que tiene acceso a las transacciones bancarias. En este caso, a las computadoras de los teleoperadores o el equipo de asistencia.

 

Por lo tanto, cada vez que los criminales detectaban la tarjeta de un banco que se había visto comprometido en el cajero automático de otro banco, el sistema infectado deshacía de forma automática las transacciones. Por lo tanto, el saldo de las tarjetas seguía siendo el mismo, permitiendo que el cibercriminal sacara una cantidad de dinero limitada solo por la cantidad de dinero en efectivo de la que dispusiera el cajero automático. Los criminales repitieron este mismo proceso en varios cajeros automáticos.

 

Por lo que sabemos, la banda es relativamente pequeña y está compuesta por un máximo de diez personas. Parte del equipo habla ruso y no hemos detectado ninguna infección fuera de Rusia. Los hackers siguen activos y en busca de nuevas víctimas.

 

Astutos criminales

 

Los criminales del grupo GCMAN llevaron a cabo una operación similar, pero, en lugar de robar dinero de los cajeros automáticos, lo transferían a servicios de moneda electrónica.

 

Para acceder a la red, los miembros de GCMAN utilizaron correos electrónicos de spear phishing que contenían archivos adjuntos maliciosos. Se introdujeron en los dispositivos de los responsables de recursos humanos y contabilidad y esperaron hasta que los administradores de estos sistemas iniciaran sesión. A veces aceleraban el proceso interrumpiendo el funcionamiento de Microsoft Word o de 1C (un programa de contabilidad muy popular en Rusia). Cuando el usuario pedía ayuda y el administrador del sistema intentaba resolver el problema, los criminales aprovechaban la ocasión para hacerse con la contraseña del administrador.

 

 

Seguido de esto, los miembros de GCMAN viajaron a través de la red corporativa del banco hasta que encontraron un dispositivo, que pudiera transferir dinero a diferentes servicios de moneda electrónica sin levantar la voz de alarma. Algunas organizaciones criminales, pudieron hacerlo incluso utilizando software legítimo y herramientas comunes para realizar pruebas de penetración como Putty, VNC o Meterpreter.

 

Estas operaciones se realizan a través de un script cron, que transfiere automáticamente pequeñas sumas de dinero cada minuto, hasta un total de unos 200 dólares a la vez, ya que este es el límite para realizar transacciones financieras anónimas en Rusia. No cabe duda de que estos ladrones actuaron con mucha cautela y siguieron actuando en las sombras durante un año y medio, hackeando de forma sigilosa gran cantidad de dispositivos y cuentas.

 

Por lo que sabemos, el grupo GCMAN es muy pequeño y está formado únicamente por uno o dos miembros, que casualmente también hablan ruso.

 

El regreso de Carbanak

 

El grupo Carbanak lleva en funcionamiento en Internet desde el 2013. De vez en cuando desaparece y luego reaparece con un nuevo plan de ataque. Recientemente, el perfil de las víctimas Carbanak se ha ampliado. Ahora sus ataques están dirigidos a los departamentos financieros de cualquier organización de interés, no solo a los bancos. Este grupo provocó pérdidas millonarias en a varias compañías de todo el mundo. Después desaparecieron durante un tiempo y regresaron hace cuatro meses con un nuevo plan.

 

Para el hackeo y el robo, estos criminales utilizan herramientas y métodos similares a las APT. Para la infección inicial de una red corporativa utilizan campañas de spear phishing: un empleado abre un archivo adjunto recibido en un correo electrónico e instala el malware desarrollado por Carbanak, sin ser consciente de ello.

 

 

En cuanto una computadora se infecta, los delincuentes buscan el acceso a la cuenta del administrador del sistema, robando sus credenciales y utilizándolas para hackear el controlador de dominio y robar el dinero de las cuentas bancarias o incluso cambiar los datos del dueño de la empresa.

 

Por lo que sabemos, Carbanak es un grupo internacional compuesto por criminales de Rusia, China, Ucrania y otros países europeos. La banda se compone de decenas de personas.

 

Tomado: kaspersky.com.mx

 

 

seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800