En cuestión de horas: Kaspersky Lab descubre el secuestro exprés a la red digital de un banco
El equipo de investigación de seguridad de Kaspersky Lab anunció hoy el descubrimiento de un ataque coordinado y rápido a todo un banco en el que fueron secuestrados los servicios bancarios en línea y móviles de la organización durante varias horas. Los analistas de Kaspersky Lab detectaron el ataque en tiempo real y pudieron observar los movimientos de los ciberdelincuentes durante el espacio de cinco horas en el que la red digital de la organización estuvo bajo el control total de los atacantes. Se estima que el robo afectó a potencialmente cientos de miles o incluso millones de clientes en más de 300 ciudades alrededor del mundo.
Según los investigadores, el ataque se realizó en octubre de 2016 durante un fin de semana, cuando las operaciones del personal de seguridad suelen ser menos activas. Los atacantes accedieron a la red digital del banco penetrando la infraestructura del proveedor de servidores DNS. Una vez que adquirieron el control, los cibercriminales redirigieron las operaciones del banco a un prominente proveedor en la nube.
Meses antes del incidente, los atacantes generaron un certificado SSL digital legítimo en nombre del banco y lo utilizaron durante el ataque. Las víctimas, al visitar el sitio secuestrado, no recibieron de sus navegadores web ninguna advertencia; es más, la conexión aparecía como segura, ya que el certificado utilizado era legítimo y la conexión con el sitio estaba cifrada.
Durante un período de aproximadamente cinco horas, los atacantes controlaron las transacciones de cientos de miles o incluso millones de clientes que intentaron acceder a los servicios bancarios en línea o móviles mediante el uso de un malware de instalación automática disimulado como un popular plug-in de software de seguridad bancaria. Una vez instalado, el malware fue diseñado para robar, entre otras cosas, la información de inicio de la sesión de banca en línea y móvil, las listas de contactos de Outlook y Exchange, así como las credenciales de correo electrónico y FTP. Además, los ciberdelincuentes eliminaron el software de seguridad instalado en los dispositivos de sus víctimas mediante el uso de herramientas anti-rootkit legítimas y gratuitas para evitar detección. También fue puesta en marcha durante este tiempo una campaña de phishing centrada en ciertos clientes para robar información de tarjetas de crédito. Más de 30 dominios pertenecientes al banco se vieron comprometidos, entre ellos los servicios de banca en línea, terminales PoS de tarjetas de crédito y de débito, y otras operaciones financieras.
Aunque el ataque comprometió las operaciones de un solo banco, el malware instalado en los dispositivos de las víctimas está diseñado para robar dinero de una lista de bancos predeterminados de todo el mundo. La mayoría de los bancos objetivo están en Brasil, pero otros bancos objetivo están en el Reino Unido, Japón, Portugal, Italia, China, Argentina, Francia, Estados Unidos y las Islas Caimán.
“Este incidente nos muestra dos cosas. Primero, que los ciberdelincuentes son persistentes en encontrar nuevas formas de atacar a los bancos y están decididos a no ser detectados; y dos, que la seguridad de un banco no es una estrategia estática, si no que necesita evolucionar y adaptarse constantemente basándose en la inteligencia obtenida sobre las tendencias, las nuevas amenazas y las técnicas de seguridad más recientes para mantener verdaderamente segura la red. Este ataque aprovechó la vulnerabilidad de un tercero, el proveedor de servicios DNS del banco, algo que la mayoría de los bancos en América Latina tienen en común, ya que carecen de sus propios servidores. De hecho, por lo menos la mitad de los 20 principales bancos del mundo manejan su DNS parcialmente o en su totalidad empleando a terceros. La seguridad de la red de esos terceros es algo sobre lo cual no tienen control los funcionarios bancarios, un hecho que mayormente los bancos pasan por alto, pero como vimos en este caso, los cibercriminales no”, dijo Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Latinoamérica en Kaspersky Lab.
Los productos de Kaspersky Lab detectan y eliminan todas las versiones conocidas de este malware:
Trojan-Downloader.Java.Agent
Trojan.BAT.Starter
No-un-virus: RiskTool.Win32.Deleter
Trojan-Spy.Win32.Agent
Los suscriptores de los Informes de Inteligencia Financiera de Kaspersky Lab tienen acceso a detalles técnicos, así como a Indicadores de Compromiso (IOC, por sus siglas en inglés).