Regresan los malos augurios contra la banca

Redaccion

Carbanak 2.0 ha evolucionado sus estrategias de ataque mediante el uso de reconocimiento tipo APT encubierto y malware personalizado junto con software legítimo y nuevos esquemas innovadores para retirar dinero.

Keylor García

La banda de ciberdelincuentes tiene el fin de robarle a bancos, fue así como Kaspersky Lab confirmó el regreso de Carbanak como Carbanak 2.0 y puso al descubierto a dos grupos más que trabajan bajo el mismo estilo: Metel y GCMAN.

La banda de cibercriminales Metel tiene muchos trucos en su libro de jugadas, pero es particularmente interesante debido a un esquema muy inteligente: al obtener control de las máquinas dentro de un banco que tienen acceso a transacciones de dinero (por ejemplo, computadoras del centro de atención, asistencia telefónica del banco) la banda puede automatizar la restauración de las transacciones en cajeros automáticos (ATMs).

La compañía en seguridad informática observó que la banda de delincuentes roba dinero en diferentes ciudades rusas durante la noche para vaciar las máquinas ATM de diferentes bancos, de manera repetida y utilizando las mismas tarjetas de débito emitidas por los bancos comprometidos, esta capacidad de restauración asegura que el saldo en las tarjetas de débito siga igual sin importar el número de transacciones realizadas en los cajeros automáticos.

Le recomendamos: ¡Cuidado! Su aplicación web podría vivir una pesadilla en viernes 13

Hoy en día, la fase activa de un ataque cibernético se está haciendo más corta. Cuando los atacantes se hacen expertos en una operación en particular, sólo les toma unos días o una semana para tomar lo que quieren y corren”, comentó Sergey Golovanov, investigador principal de seguridad de Kaspersky Lab.

Durante la investigación, los expertos de la compañía descubrieron que los operadores de Metel logran su infección inicial a través de correos electrónicos especialmente diseñados con archivos adjuntos maliciosos y a través del paquete de exploits Niteris, orientado a las vulnerabilidades en el navegador de la víctima.

Una vez dentro de la red, los ciberdelincuentes utilizan herramientas legítimas y de prueba de penetración para moverse lateralmente, secuestrando el controlador de dominio local y obtuvieron el control de las computadoras utilizadas por los empleados del banco encargados del procesamiento de tarjetas de pago.

Las tres bandas identificadas están cambiando hacia el uso de malware acompañado de software legítimo en sus operaciones fraudulentas: ¿por qué desarrollar una gran cantidad de herramientas de malware personalizadas, cuando las utilidades legítimas pueden ser igual de eficaces, y disparar un número mucho menor de alarmas?

Pero en términos de sigilo, el actor GCMAN va aún más allá: a veces puede atacar con éxito una organización sin utilizar ningún tipo de malware, corriendo herramientas legítimas y de prueba de penetración solamente. En los casos que los expertos de Kaspersky Lab han investigado, se ha visto a GCMAN utilizando Putty, utilidades VNC (Computación Virtual en Red), y Meterpreter para moverse lateralmente a través de la red hasta que los atacantes llegan a una máquina que se podría utilizar para transferir dinero a servicios de moneda electrónica sin alertar a otros sistemas bancarios.

Recuento

En 2015, los objetivos de Carbanak 2.0 no sólo fueron bancos, también lo fueron los departamentos de presupuesto y contabilidad de cualquier organización de interés. La banda de Carbanak 2.0 accedió a una institución financiera y procedió a modificar las credenciales de propiedad de una gran empresa. La información se modificó para nombrar a una mula de dinero como accionista de la empresa, mostrando su información de identificación.

“Los ataques a las instituciones financieras descubiertas en 2015 indican una tendencia preocupante de ciberdelincuentes que adoptan de manera agresiva los ataques de tipo APT. La banda Carbanak fue sólo la primera de muchas: los ciberdelincuentes ahora aprenden rápido a utilizar nuevas técnicas en sus operaciones, y vemos que más de ellos han cambiado de ataques a usuarios a ataques a los bancos directamente. Su lógica es simple: ahí es donde está el dinero”, advirtió Sergey Golovanov.

Metel Gcman SP v2

Este artículo está clasificado como: , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR