Far Eastern International Bank: nueva víctima del cibercrimen organizado

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

La Comisión Reguladora Financiera de la ciudad Taipéi en Taiwán, confirmó que el Far Eastern International Bank se ha convertido en víctima de la piratería.

A través del malware filtrado, los cibercriminales realizaron transacciones virtuales para transferir fondos por un total de casi US $ 60 millones de cuentas de clientes del Far Eastern International Bank a algunos destinos extranjeros como Sri Lanka, Camboya y Estados Unidos.

No obstante, según el banco, debido a sus esfuerzos por rastrear los fondos perdidos, los ataques de hackers le costaron al banco menos de US $ 500,000.

Luego de que Fincsirt (Sri Lanka) publicó una notificación (https://www.fincsirt.lk/pdf/AVA171013.pdf) en la que señalaron dos direcciones IP que pueden estar conectadas con este incidente (167.114.32.112 y 94.23.148.41) y cinco hashes de archivos maliciosos.

Los investigadores de Fincsirt establecieron que durante el ataque se usaron ransomware de Hermes y un back door de Klipod.

Basado en el análisis de la información provista y recopilada, hay varios escenarios posibles que describen el ataque al Far Eastern International Bank.

Dos direcciones IP (167.114.32.112, 94.23.148.41) de Fincsirt alert son propiedad de hosting francés que fueron revendidas a Legionhoster.

Aparentemente un empleado de Ligionhoster puede estar relacionado al incidente

Se estableció que este empleado con apodo MasterRat puede estar relacionado a estas direcciones IP.

Las direcciones IP pertenecen al agente de amenazas que controla la botnet de Pony y LokiBot.

Además, el propietario estaba interesado en desarrollar herramientas de acceso remoto y usó su infraestructura para probar tales RAT como Luminosity y NetWire.

Es de suponer que, durante esta primavera boreal, intentó atacar a las instituciones financieras y a los clientes de diferentes bancos.

La mayoría de los criminales que atacaron a los bancos eran dueños de botnets bancarias que fueron utilizadas en el pasado para poder atacar al Far Eastern International Bank.

Sin embargo, por lo general, los propietarios de tales malwares como Loki y Pony no tienen suficientes habilidades para organizar ataques dirigidos sofisticados y podrían vender acceso a una PC comprometida en el banco.

Es de suponer que después de un compromiso exitoso del acceso a la red del banco interno se vendió a delincuentes que tienen suficiente experiencia en ataques dirigidos contra bancos.

Hay un hecho interesante de que en abril los atacantes probaron nuevos archivos adjuntos maliciosos con macros y en uno de los servidores se localizaron archivos adjuntos maliciosos con nombres que contenían la palabra «SWIFT».

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS