Analistas rusos advierten de un nuevo robo financiero cibernético, basado en Carbanak

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Un grupo de analistas rusos advirtió que los ciberdelincuentes empezarían a adoptar las herramientas y tácticas de APTs (Ataques Persistentes Dirigidos) respaldadas por estados nación con el fin de robar a bancos.

Los analistas han confirmado el regreso de Carbanak como Carbanak 2.0 y puso al descubierto a dos grupos más que trabajan bajo el mismo estilo: Metel y GCMAN. Estos actores atacan organizaciones financieras mediante el uso de reconocimiento tipo APT encubierto y malware personalizado junto con software legítimo y nuevos esquemas innovadores para retirar dinero.

La banda de cibercriminales Metel tiene muchos trucos en su libro de jugadas, pero es particularmente interesante debido a un esquema muy inteligente: al obtener el control de las máquinas que tienen acceso a transacciones de dinero dentro de un banco (por ejemplo, computadoras del centro de atención/asistencia telefónica del banco) la banda puede automatizar la restauración de las transacciones en cajeros automáticos (ATMs).

Esta capacidad de restauración asegura que el saldo en las tarjetas de débito siga igual sin importar el número de transacciones realizadas en los cajeros automáticos. En los ejemplos observados hasta la fecha, la banda de delincuentes roba dinero circulando en auto por diferentes ciudades rusas durante la noche para vaciar las máquinas ATM de diferentes bancos, de manera repetida y utilizando las mismas tarjetas de débito emitidas por los bancos comprometidos. En sólo una noche logran retirar el dinero.

Durante la investigación forense, se reveló que los operadores de Metel logran su infección inicial a través de correos electrónicos de spear-phishing especialmente diseñados con archivos adjuntos maliciosos, y a través del paquete de exploit Niteris, orientado a las vulnerabilidades en el navegador de la víctima. Una vez dentro de la red, los ciberdelincuentes utilizan herramientas legítimas y de prueba de penetración para moverse lateralmente, secuestrando el controlador de dominio local y, finalmente, localizando y obteniendo el control de las computadoras utilizadas por los empleados del banco encargados del procesamiento de tarjetas de pago.

El grupo Metel permanece activo y la investigación sobre sus actividades continúa. Hasta el momento no se han identificado ataques fuera de Rusia. Sin embargo, hay motivos para sospechar que la infección está mucho más extendida, y se aconseja a los bancos de todo el mundo que revisen posibles infecciones de manera proactiva.

Las tres bandas identificadas están cambiando hacia el uso de malware acompañado de software legítimo en sus operaciones fraudulentas: ¿por qué desarrollar una gran cantidad de herramientas de malware personalizadas cuando las utilidades legítimas pueden ser igual de eficaces y disparar un número mucho menor de alarmas?

Pero en términos de sigilo, el actor GCMAN va aún más allá: a veces puede atacar con éxito una organización sin utilizar ningún tipo de malware, corriendo solamente herramientas legítimas y de prueba de penetración.

Y, por último, Carbanak 2.0 marca el resurgimiento de la amenaza persistente avanzada (APT) Carbanak, con las mismas herramientas y técnicas, pero con un perfil de víctima diferente y formas innovadoras de retiro de dinero.

En 2015, los objetivos de Carbanak 2.0 no sólo fueron bancos, también lo fueron los departamentos de presupuesto y contabilidad de cualquier organización de interés. Y en un ejemplo observado, la banda de Carbanak 2.0 accedió a una institución financiera y procedió a modificar las credenciales de propiedad de una gran empresa. La información se modificó para nombrar a una mula de dinero como accionista de la empresa, mostrando su información de identificación.

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris