Carbanak: el malware que robó 1.000 millones de dólares a 100 bancos diferentes
17
feb.
2015
Una banda multinacional de ciberdelincuentes se infiltró en más de 100 bancos a través de 30 países y huyeron con hasta 1 billón de dólares en un período de aproximadamente dos años, según dijo el sábado Kaspersky Lab.
Kaspersky Lab, INTERPOL, Europol y las autoridades de diferentes países unieron fuerzas para descubrir la trama, que se denomina un "robo cibernético sin precedentes". A través de sus investigaciones hasta esta fecha, la empresa de seguridad dijo que tiene pruebas que aproximadamente $ 300 millones han sido robados por los ciberdelincuentes, pero se cree que el total podría ser de más de $ 1 billón.
- Cuando llegó el momento de sacar provecho de sus actividades, los delincuentes utilizan los sistemas de pago internacionales de la banca en línea para transferir dinero de las cuentas de los bancos a los suyos. En el segundo caso el dinero robado fue depositado en bancos en China o Estados Unidos. Los expertos no descartan la posibilidad de que otros bancos de otros países fueran utilizados como receptores.
- En otros casos, los criminales cibernéticos penetraron a directo en el corazón de los sistemas de contabilidad, inflando los saldos en cuenta antes de embolsarse los fondos adicionales a través de una transacción fraudulenta. Por ejemplo: si una cuenta tiene $ 1,000, los criminales cambiaban su valor a $ 10.000 y luego transferían los US $ 9.000 a sí mismos. El titular de la cuenta no sospecha del problema porque su cuenta original de $ 1000 está todavía allí.
- Además, los ladrones cibernéticos tomaron el control de los cajeros automáticos de los bancos y les ordenaron dispensar dinero en efectivo en un tiempo predeterminado. Cuando el pago se hacia, uno de los secuaces de la pandilla estaba esperando junto a la máquina para recoger el pago "voluntario".
"Una vez que los atacantes comprometían con éxito la red de la víctima, hacían lo mismo con los destinos primarios internos de los servicios de procesamiento de dinero, los cajeros automáticos (ATM) y las cuentas financieras", explicó el informe. "En algunos casos, los atacantes utilizaron a la red de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) para transferir dinero a sus cuentas. En otros, las bases de datos de Oracle fueron manipuladas para abrir el pago o la tarjeta de débito de las cuentas en el mismo banco o para transferir dinero entre cuentas utilizando el sistema de banca en línea. La red de cajeros automáticos también se utilizó para dispensar dinero en efectivo en los cajeros automáticos determinados en ciertos momentos donde las mulas (cómplices) estaban dispuestos a recoger el dinero ".
"Estos atracos a bancos fueron sorprendentes, ya que no modificaban los criminales lo que el software de los bancos estaban usando. Así que, incluso si su software es único, un banco no puede bajar la guardia. Los atacantes ni siquiera tenían que cortar los servicios de los bancos: una vez que entraron en la red, sabían cómo ocultar sus movimientos maliciosos detrás de las acciones legítimas. Fue un ciber-robo muy pulido y profesional ", dijo Sergey Golovanov, Investigador Principal de Seguridad Investigación y Analista Global de Kaspersky Lab.
"Estos atracos a bancos fueron sorprendentes, ya que no modificaban los criminales lo que el software de los bancos estaban usando. Así que, incluso si su software es único, un banco no puede bajar la guardia. Los atacantes ni siquiera tenían que cortar los servicios de los bancos: una vez que entraron en la red, sabían cómo ocultar sus movimientos maliciosos detrás de las acciones legítimas. Fue un ciber-robo muy pulido y profesional ", dijo Sergey Golovanov, Investigador Principal de Seguridad Investigación y Analista Global de Kaspersky Lab.
Carbanak consiguió acceder a la red interna y de vigilancia de los bancos a través de empleados de los mismos a los que había atacado bajo técnicas “spear phishing”. El grupo inflaba las cuentas para realizar transacciones fraudulentas y programaba los cajeros remotamente para que “escupieran” metálico a una hora programada que era recogido por algunos de sus miembros.
Según el informe, los mensajes de phishing contenían archivos adjuntos letales de Microsoft Word 97-2003 (.doc) y archivos de extensiones de la aplicación para el Panel de Control (.CPL). Los archivos maliciosos vulneraban Microsoft Office (CVE-2.012-0.158 y CVE-2.013-3906) y Microsoft Word (CVE-2014-1761) para ejecutar el código shell, que descifra y ejecuta el backdoor Carbanak.
The New York Times dice que robo alcanza a 100 instituciones financieras de 30 países, especialmente Rusia, Japón, Estados Unidos y otros países europeos.
Kaspersky Lab dijo que en base a su análisis, los atacantes de Carbanak están tratando de expandir sus operaciones a otros países bálticos y de Europa Central, Oriente Medio, Asia y África. La compañía aconseja a las instituciones financieras realizar un análisis exhaustivo a sus redes por la presencia de Carbanak
Fuente: SecureList
Para estar informado de los últimos artículos, suscríbase:
Comentarios