El Robo del Siglo: Hackers Se Llevan Mil Millones de Dólares

18 Feb 2015

Las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés) son uno de los temas predilectos de los expertos en Seguridad de la Información, debido a que estos ataques suelen emplear las herramientas y técnicas de hacking más sofisticadas que se conocen en la actualidad. Lamentablemente, para los ciudadanos ordinarios, estas amenazas pasan desapercibidas.

shutterstock_40164067_BL

De hecho, hasta hace unos años, gran parte de la población ni siquiera tomaba conocimiento de las APT, dado que la mayoría de estos ataques apuntaban a organizaciones gubernamentales y todos los detalles de las investigaciones y las implicancias económicas permanecían bajo estricta confidencialidad.

Actualmente, el panorama global cambió. Las APT comenzaron a explotar el sector bancario y los resultados son devastadores: una campaña de APT dirigida a decenas de instituciones financieras de todo el mundo, conocida como “Carbanak”, provocó pérdidas de mil millones de dólares.

El vector del ataque

Las tácticas empleadas por los cibercriminales para llevar a cabo el robo del siglo fueron variadas, minuciosas y eficaces. Con el objetivo de infiltrarse en la red de las instituciones bancarias, los atacantes utilizaron correos electrónicos spear phishing, que les sirvieron para engañar a los clientes del banco e infectar sus computadoras con un poderoso Troyano Backdoor, basado en el código malicioso de Carberp. Fue en “honor” a este malware que se decidió denominar “Carbanak” a la campaña.

Una campaña APT provoca pérdidas de mil millones de dólares en decenas de entidades bancarias en todo el mundo

Una vez que tomaron el control de las máquinas de los usuarios, los cibercriminales usaron los equipos comprometidos como punto de entrada para acceder a la intranet de los bancos. De esta manera, infectaron varias de las PCs internas, lo cual les permitió averiguar cuáles de estas máquinas podían utilizarse para acceder a los sistemas financieros críticos.

Pero su trabajo malicioso no concluyó allí. Con la ayuda de keyloggers y softwares para realizar capturas de pantalla sigilosas, los delincuentes estudiaron con detenimiento cada una de las herramientas utilizadas por las instituciones bancarias. Esto les sirvió para definir los métodos de ataque apropiados para cada uno de los bancos. Según pudo averiguar Kaspersky Lab, las técnicas que los criminales emplearon para extraer el dinero fueron: transferencias SWIFT, cuentas bancarias falsas con efectivo extraído por ‘mulas’ y ataques de comandos remotos en cajeros automáticos.

inf_Carbanak_x1280

Las autoridades estiman que todo el proceso (desde que se infectaron los primeros equipos de los usuarios, hasta que los criminales extrajeron el dinero) tomó entre dos y cuatro meses.

Pérdidas estimadas

En promedio, los delincuentes robaron entre $2.5 y $10 millones de dólares de cada banco. Estas cifras, que individualmente ya son elevadas, parecen insignificantes si tiene en cuenta que los bancos atacados fueron alrededor de cien. En este sentido, las pérdidas provocadas por la campaña APT Carbanak ascienden a un total cercano a los mil millones de dólares.

Los países en los que se produjeron los robos más grandes son: Rusia, Estados Unidos, Alemania, China y Ucrania. No obstante, las autoridades aseguran que Carbanak actualmente está expandiendo sus operaciones hacia Malasia, Nepal, Kuwait y varios países del continente africano.

map_Carbanak

Según investigaciones de Kaspersky Lab, las primeras muestras de malware utilizado en la campaña Carbanak fueron creadas en agosto de 2013 y los primeros casos de infección provocados por este malware datan de diciembre de ese mismo año. En tanto, el primer robo que se llevó a cabo con éxito gracias a las capacidades de este troyano se registró entre febrero y abril de 2014. Y los ataques de este malware alcanzaron su punto máximo en junio del año pasado.

Las autoridades sospechan que los atacantes no planean detener sus operaciones. Por esta razón, numerosos centros nacionales de ciberdefensa y organizaciones internacionales -incluidas Europol e Interpol- ya están involucrados en la investigación. A su vez, el Equipo de Investigación y Análisis Global de Kaspersky Lab (GReAT) también se ha unido a la causa.

¿Cómo debes protegerte contra esta amenaza?

Algunas buenas noticias para los usuarios:

Todos los productos de Kaspersky Lab detectan las muestras conocidas del malware Carbanak. Es decir: Backdoor.Win32.Carbanak y Backdoor.Win32.CarbanakCmd.

Con el fin de asegurar un alto nivel de protección, recomendamos que habilites el módulo de protección proactiva incluido en todas las versiones de Kaspersky. A su vez, sigue los consejos que te dejamos a continuación, que te servirán para mantenerte a salvo de esta y de otras amenazas de seguridad:

  • Nunca abras correos electrónicos sospechosos, especialmente aquellos que vienen acompañados de un archivo adjunto.
  • Actualiza regularmente cada uno de los softwares que utilizas. Esta campaña no explotó ninguna vulnerabilidad de día cero, sino que utilizó errores conocidos, que ya habían sido previamente parcheados por las empresas.
  • Activa la detección heurística en tu antivirus: esto aumentará las probabilidades de una detección temprana del malware.

Puedes encontrar más información sobre la campaña Carbanak y los detalles de la investigación del equipo GReAT en blog de securelist.

 

Traducido por: Guillermo Vidal Quinteiro