Decenas de bancos pierden millones frente a los ataques de los cibercriminales

En 2015 hemos visto el auge de los robos bancarios realizados por cibercriminales. Varios grupos han conseguido dominar las técnicas y herramientas APT y “echar mano al bolsillo” de, al menos, veintinueve de los bancos más importantes de Rusia.

Las víctimas pidieron ayuda a Kaspersky Lab y nuestro equipo de Investigación y Análisis global se puso manos a la obra. La investigación reveló tres grupos de cibercriminales diferentes que causaron a los bancos daños económicos multimillonarios. En la Security Analyst Summit 2016, los expertos de GReAT divulgaron el informe de su investigación. Por el bien y la seguridad de las víctimas, sus nombres no han sido revelados.

It begins #TheSAS2016 pic.twitter.com/T8ez0m3tEW

— Katie Moussouris (@k8em0) February 8, 2016

Cajeros automáticos a punta de pistola

En 2011 se descubrió un troyano bancario con el pegadizo nombre de Metel (también conocido como Corlow): en ese momento el malware estaba dirigido a los usuarios de los sistemas bancarios. En 2015, los criminales que estaban tras Metel dirigieron sus ataques a los bancos, en concreto a los cajeros electrónicos. Con sus habilidades y una campaña maliciosa, estos criminales consiguieron eliminar las limitaciones de las tarjetas de crédito. Imagínatelo, mejor que imprimir billetes.    

¿Cómo lo hicieron?

Los criminales infectaron con éxito los ordenadores de los empleados de los bancos mediante correos electrónicos de spear phishing que incluían archivos ejecutables maliciosos, o a través de las vulnerabilidades de los navegadores. Una vez dentro de la red, utilizaban software legítimo para acceder a otros PCs hasta llegar al dispositivo que estaban buscando, el que tiene acceso a las transacciones bancarias. En este caso, a los ordenadores de los teleoperadores o el equipo de asistencia.

Las predicciones de @KasperskyES en #ciberseguridad para #2016 https://t.co/ikrv5xkySK pic.twitter.com/PWssFW2BVD

— Kaspersky Lab España (@KasperskyES) December 17, 2015

Por lo tanto, cada vez que los criminales detectaban la tarjeta de un banco que se había visto comprometido en el cajero automático de otro banco, el sistema infectado deshacía de forma automática las transacciones. Por lo tanto, el saldo de las tarjetas seguía siendo el mismo, permitiendo que el cibercriminal sacara una cantidad de dinero limitada solo por la cantidad de dinero en efectivo de la que dispusiera el cajero automático. Los criminales repitieron este proceso en diferentes cajeros automáticos.

#Phishing: qué es y 10 consejos para protegerte https://t.co/JRJV7FYGTU #ciberseguridad pic.twitter.com/SHcAtZsIzG

— Kaspersky Lab España (@KasperskyES) December 18, 2015

Por lo que sabemos, la banda es relativamente pequeña y está compuesta por un máximo de diez personas. Parte del equipo habla ruso y no hemos detectado ninguna infección fuera de Rusia. Los hackers siguen activos y en busca de nuevas víctimas.

Astutos criminales

Los criminales del grupo GCMAN llevaron a cabo una operación similar, pero, en lugar de robar dinero de los cajeros automáticos, lo transferían a servicios de moneda electrónica.

Para acceder a la red, los miembros de GCMAN utilizaron correos electrónicos de spear phishing que contenían archivos adjuntos maliciosos. Se introdujeron en los dispositivos de los responsables de recursos humanos y contabilidad y esperaron hasta que los administradores de estos sistemas iniciaran sesión. A veces aceleraban el proceso interrumpiendo el funcionamiento de Microsoft Word o de 1C (un programa de contabilidad muy popular en Rusia). Cuando el usuario pedía ayuda y el administrador del sistema intentaba resolver el problema, los criminales aprovechaban la ocasión para hacerse con la contraseña del administrador.

A continuación, los miembros de GCMAN viajaron a través de la red corporativa del banco hasta que encontraron un dispositivo, que pudiera transferir dinero a diferentes servicios de moneda electrónica sin levantar la voz de alarma. Algunas organizaciones criminales, pudieron hacerlo incluso utilizando software legítimo y herramientas comunes para realizar pruebas de penetración como Putty, VNC o Meterpreter.

Estas operaciones se realizan a través de un script cron, que transfiere automáticamente pequeñas sumas de dinero cada minuto, hasta un total de unos 200 dólares a la vez, ya que este es el límite para realizar transacciones financieras anónimas en Rusia. No cabe duda de que estos ladrones actuaron con mucha cautela y siguieron actuando en las sombras durante un año y medio, hackeando de forma sigilosa gran cantidad de dispositivos y cuentas.

Por lo que sabemos, el grupo GCMAN es muy pequeño y está formado únicamente por uno o dos miembros, que casualmente también hablan ruso.

El regreso de Carbanak

El grupo Carbanak lleva en funcionamiento en Internet desde 2013. De vez en cuando desaparece y luego reaparece con un nuevo plan de ataque. Recientemente el perfil de las víctimas Carbanak se ha ampliado. Ahora sus ataques están dirigidos a los departamentos financieros de cualquier organización de interés, no solo a los bancos. Este grupo provocó pérdidas millonarias en a varias compañías de todo el mundo. Después desaparecieron durante un tiempo y regresaron hace cuatro meses con un nuevo plan.

Para el hackeo y el robo, estos criminales utilizan herramientas y métodos similares a las APT. Para la infección inicial de una red corporativa utilizan campañas de spear phishing: un empleado abre un archivo adjunto recibido en un correo electrónico e instala el malware desarrollado por Carbanak, sin ser consciente de ello.

En cuanto un ordenador ha sido infectado, los delincuentes buscan el acceso a la cuenta del administrador del sistema, robando sus credenciales y utilizándolas para hackear el controlador de dominio y robar el dinero de las cuentas bancarias o incluso cambiar los datos del dueño de la empresa.

Por lo que sabemos, Carbanak es un grupo internacional compuesto por criminales de Rusia, China, Ucrania y otros países europeos. La banda se compone de decenas de personas. Puedes leer más sobre Carbanak en este post.

Trabajo en un banco. ¿Qué debo hacer?

Si trabajas en una organización financiera, tienes que estar siempre alerta. Como hemos visto en los casos anteriores, podrías ser tú ese usuario que, accidentalmente, invita a los cibercriminales a entrar en el sistema de tu oficina. No te gustaría ser esa persona, por lo que, para evitar que esto suceda, te recomendamos leer los siguientes artículos:

• Por qué funciona el phishing y cómo evitarlo
• Por qué debes actualizar tu software
• Cómo evitar ser víctima de un troyano

En resumen, las soluciones de seguridad de Kaspersky Lab detectan y desmantelan todo el malware conocido creado por Carbanak, Metel y GCMAN.