Se ha filtrado el código fuente de Carbanak… ¿y ahora qué?

Se ha encontrado el código fuente del famoso y multimillonario malware en VirusTotal. Te contamos todo lo que sabemos y qué podemos esperar.

Hace poco, los medios de comunicación han vuelto a hablar sobre Carbanak, pues investigadores de seguridad hallaron el código fuente de este malware en el portal abierto VirusTotal. Se considera a Carbanak como la ciberamaneza financiera de más éxito a la fecha, ya que causó pérdidas de hasta mil millones de dólares.

La historia de Carbanak

Nuestros expertos descubrieron y analizaron Carbanak por primera vez en el 2014. Comenzaron con la investigación de robos de efectivo en cajeros automáticos, pero pronto descubrieron que estos incidentes estaban relacionados: se trataba de una gran campaña internacional que pretendía robar una gran cantidad de dinero a varios bancos de todo el mundo. Al principio nuestros expertos solo estudiaban los incidentes de Europa del Este, pero pronto encontraron más víctimas en Estados Unidos, Alemania y China.

Al igual que otros muchos ataques, esta campaña comenzó con spear phishing. En este caso, se trataba de una serie de correos electrónicos dirigidos y armados con archivos adjuntos maliciosos que instalaban una puerta trasera, basados en el malware Carberp. Esta puerta trasera dejaba paso a toda la red de la organización (en este caso, las redes de los bancos) y comprometía a los ordenadores que, en consecuencia, posibilitaban a los cibercriminales extraer dinero.

Los criminales llegaban al dinero de diferentes formas. En algunos casos, mandaban instrucciones por vía remota a los cajeros automáticos para entregar efectivo, el cual más tarde las mulas recogían. En otros, utilizaban la red SWIFT para transferir el dinero directamente a sus cuentas. Hasta el 2014 no se habían explotado ampliamente este tipo de métodos, por lo que la escala y las tecnologías empleadas por Carbanak sacudieron tanto a la industria bancaria como a la de la ciberseguridad.

¿Qué nos depara el futuro?

Tras el descubrimiento de Carbanak, nuestros expertos han presenciado varios ataques (Silence, por ejemplo) que ensayaron tácticas similares, y rastrearon otras señales del mismo grupo criminal, que se mantenía bastante activo. Pero ahora que el código fuente de Carbanak se ha hecho público, este tipo de incidentes podrían hacerse cada vez más frecuentes, pues está disponible para los cibercriminales que no tengan los conocimientos de codificación necesarios para producir un malware tan complejo. El investigador de Kaspersky Lab Sergey Golovanov, que ha investigado este caso desde el principio, tiene algo que decir al respecto:

“El hecho de que el código fuente del famoso malware Carbanak esté disponible en un sitio web de código abierto es un mal augurio. De hecho, Carbanak se desarrolló con el código fuente del malware Carberp después de su publicación online. Tenemos razones para creer que esta situación se repetirá y que veremos modificaciones más peligrosas de Carbanak en el futuro. La buena noticia es que desde la filtración de Carberp, la industria de la ciberseguridad ha evolucionado de forma significativa y que ahora se puede reconocer fácilmente el código modificado. Ante esto, alentamos a las empresas y particulares a protegerse contra estas amenazas y las que vienen con una solución de seguridad de confianza”.

Cómo mantenerte a salvo

Para protegerte de las amenazas como Carbanak, te recomendamos que adoptes las siguientes medidas:

  • Integra fuentes de inteligencia sobre amenazas en tu SIEM y demás controles de seguridad para acceder a los datos de amenazas más relevantes y actualizados y poder prepararte así contra los futuros ataques. Para protegerte contra este tipo de amenazas avanzadas, lo mejor es conocerlas y saber lo que tienes que buscar. Y precisamente esta es la información de las fuentes de inteligencia.
  • Implementa soluciones EDR como Kaspersky Endpoint Detection and Response para una detección, investigación y remediación oportuna de incidentes en endpoint. La muestra de una actividad similar a Carbanak en un equipo requiere una reacción inmediata y ahí es donde te pueden ayudar las soluciones EDR.
  • Implementa una solución de seguridad para empresas que detecte amenazas avanzadas en la red en fase inicial, como Kaspersky Anti Targeted Attack Platform, además de adoptar una protección esencial para endpoint.
Consejos