Rusia: Atacan al PIR Bank

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

El ataque al PIR Bank de Rusia que resultó en el robo de 1 millón de dólares estadounidenses, realizado por el grupo de piratería de MoneyTaker.

Los fondos fueron robados el 3 de julio a través del Cliente de una estación de trabajo automatizada del Banco Central ruso (un sistema de transferencia de fondos interbancario similar a SWIFT), transferidos a 17 cuentas en los principales bancos rusos y cobrados.

Después de eso, los delincuentes trataron de asegurar la persistencia en la red del banco en preparación para los ataques posteriores, pero fueron detectados y eliminados por el grupo de respuesta a incidentes del banco.

PIR Bank oficialmente confirmó el ataque inicialmente, agregando en ese momento que no podían determinar la cantidad exacta de las pérdidas.

El personal de PIR logró retrasar la retirada de algunos fondos robados, pero está claro que la mayoría están perdidos.

Después de estudiar las estaciones de trabajo y servidores infectados en la institución financiera, los especialistas forenses recopilaron evidencia digital irrefutable que implicaba a MoneyTaker en el robo.

En particular, los expertos descubrieron herramientas y técnicas específicas que MoneyTaker había utilizado anteriormente para atacar a los bancos, así como a las direcciones IP de sus servidores de C & C.

MoneyTaker es un grupo criminal especializado en ataques dirigidos contra instituciones financieras, lleva 1.5 años de operaciones silenciosas.

Estos hackers se centran en el procesamiento de tarjetas y en los sistemas de transferencias interbancarias (AWS CBR y SWIFT).

El punto de entrada era un router comprometido utilizado por una de las sucursales regionales del banco. El enrutador tenía túneles que permitían a los atacantes obtener acceso directo a la red local del banco. Esta técnica es una característica de MoneyTaker.

Este esquema ya ha sido utilizado por este grupo al menos tres veces al atacar a los bancos con redes de sucursales regionales.

Para establecer la persistencia en los sistemas de los bancos y automatizar algunas etapas de su ataque, el grupo MoneyTaker usa tradicionalmente los scripts de PowerShell.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris