Buscar este blog

miércoles, 10 de febrero de 2016

Cibercriminales usan técnicas de espionaje en portales bancarios

 

Investigadores han identificado tres grupos de cibercriminales que emplean técnicas avanzadas para la propagación de malware con el fin de irrumpir instituciones financieras y obtener beneficios económicos.

mouse-over-debit-card

Los tiempos en los que las técnicas avanzadas como sigilo, persistencia y propagación avanzada estaban relacionados sólo con el espionaje se han terminado. Ahora los criminales emplean técnicas similares con el fin de obtener miles de dólares de las instituciones financieras.

El año pasado investigadores de la firma de seguridad de Kaspersky fueron llamados para investigar actividades de robo en 29 bancos así como entre otras instituciones ubicadas en Rusia, en esta investigación se descubrieron tres nuevas campañas de ataques. Sus hallazgos fueron presentados durante el Security Analyst Summit, evento anual de Kaspersky donde se reúnen investigadores, desarrolladores, socios de negocio y miembros de distintos CERT para dar conferencias sobre nuevas amenazas y la forma de contraatacarlas.

Metel

Un grupo de atacantes empleó un módulo para desarrollar malware conocido como Metel o Corkow con el fin de infectar sistemas de cómputo pertenecientes a instituciones bancarias así como de revertir transacciones realizadas en cajeros automáticos. Durante sólo una noche, una banda de delincuentes logró obtener millones de rublos de un banco ruso empleando una técnica de difícil detección.

Los atacantes que usaron Metel iniciaron con el envío de correos de tipo spear phishing (ataques dirigidos), en ellos se incluían enlaces maliciosos para empleados de bancos, así como de otras instituciones. Una vez comprometidos los equipos de cómputo, los atacantes trataron de moverse de forma lateral a través de la red de la institución, logrando tener acceso a los sistemas de control de transacciones.

Al lograr control de los sistemas de transacciones se automatizó la restauración de ciertas tarjetas de débito emitidas por la institución. En esa misma noche, los atacantes se trasladaron a diversas ciudades, obteniendo efectivo a través de cajeros automáticos de otra institución. Sin embargo, en el sistema de transacciones del banco, se revertía la cantidad extraída, así la cuenta no se veía afectada en lo más mínimo.

Los investigadores de Kaspersky mencionaron que el malware Metel fue detectado en 30 equipos de cómputo de diversas instituciones de Rusia. Sin embargo, ellos consideran que las actividades del grupo podrían estar más extendidas y provocar una afectación más seria a organizaciones financieras en todo el mundo.

GCMAN

Un segundo grupo, que también tiene como objetivo a instituciones bancarias, empleó el malware apodado GCMAN, que se propaga por medio de correo electrónico adjuntando archivos ejecutables comprimidos en RAR, se hace pasar por documentos de ofimática (Microsoft Word).

Con un comportamiento similar a otros grupos de ciberespionaje, los atacantes emplearon herramientas para la administración de sistemas y pruebas de penetración como Putty, VNC y Meterpreter para moverse de forma lateral a través de la red corporativa. El grupo identificó diversos servidores que tienen como función el manejo de transacciones bancarias, creando tareas calendarizadas (cron jobs) para automatizar transferencias, generalmente durante los fines de semana. En un caso, los investigadores de Kaspersky hallaron scripts que iniciaban transacciones por 200 dólares por minuto.

El grupo GCMAN también se destaca por su paciencia, en un incidente de seguridad, el grupo esperó cerca de un año y medio (a partir de su intrusión) para comenzar con el desvío de fondos.

Durante este lapso de tiempo, los miembros del grupo examinaron 70 equipos internos, comprometieron 56 cuentas y usaron 139 direcciones IP diferentes para lograrlo, principalmente vinculadas a la red Tor, también se comprometieron routers de hogares.

Así como con Metel, los investigadores de Kaspersky sólo identificaron afectados en Rusia, en específico de tres entidades financieras, sin embargo, pareciera que el grupo busca extenderse en todo el país.

Carbanak

El tercer grupo no es nuevo, pero se mantuvo "inactivo" cerca de cinco meses. Hasta la fecha, la banda de cibercriminales ha usado un malware personalizado denominado Carbanak para robar miles de dólares de cientos de instituciones financieras en al menos 30 países.

El grupo regresó con una nueva versión de su malware, Carbanak 2.0, añadió como objetivo departamentos de presupuesto y contabilidad en organizaciones no financieras.

"En un notable caso, la banda fundadora de Carbanak 2.0 empleó su malware para acceder a instituciones financieras donde se almacena información de accionistas para cambiar los detalles de los dueños de una gran empresa", comentaron los investigadores de Kaspersky en una publicación de blog.

"La información fue modificada nombrar a una mula como accionista de la compañía, mostrando su ID. No está claro el uso que le darían a esta información".

Kaspersky lanzó indicadores de compromiso para detectar las herramientas usadas por estos tres grupos, así las empresas alrededor del mundo pueden auditar sus propias redes en busca de sistemas comprometidos.

Fuente: PCworld EC