{"id":6638,"date":"2016-02-08T21:50:37","date_gmt":"2016-02-08T21:50:37","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=6638"},"modified":"2019-11-22T03:03:05","modified_gmt":"2019-11-22T09:03:05","slug":"metel-gcman-carbanak","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/metel-gcman-carbanak\/6638\/","title":{"rendered":"Decenas de bancos pierdieron millones por ataques de cibercriminales"},"content":{"rendered":"<p>En el 2015 hemos estado viendo\u00a0el auge de los robos bancarios realizados por cibercriminales. Varios grupos han\u00a0logrado\u00a0dominar las t\u00e9cnicas y herramientas APT y \u201cechar mano al bolsillo\u201d de, al menos, veintinueve de los bancos m\u00e1s importantes de Rusia.<\/p>\n<p><strong><\/strong><\/p>\n<p>Las v\u00edctimas pidieron ayuda a Kaspersky Lab y nuestro equipo de Investigaci\u00f3n y An\u00e1lisis global se puso manos a la obra. La investigaci\u00f3n revel\u00f3 tres grupos de cibercriminales diferentes que causaron a los bancos da\u00f1os econ\u00f3micos multimillonarios. En la <em>Security Analyst Summit 2016<\/em>, los expertos de GReAT divulgaron el informe de su investigaci\u00f3n. Por el bien y la seguridad de las v\u00edctimas, sus nombres no fueron revelados.<\/p>\n<p>https:\/\/twitter.com\/k8em0\/status\/696636003692314624<\/p>\n<p><strong>Cajeros autom\u00e1ticos a punta de pistola<\/strong><\/p>\n<p>En el 2011 se descubri\u00f3 un troyano bancario con el pegajoso\u00a0nombre de Metel (tambi\u00e9n conocido como Corlow): en ese momento el <em>malware<\/em> estaba dirigido a los usuarios de los sistemas bancarios. En el 2015, los criminales que estaban tras Metel dirigieron sus ataques a los bancos, en concreto a los cajeros autom\u00e1ticos. Con sus habilidades y una campa\u00f1a maliciosa, estos criminales\u00a0lograron\u00a0eliminar las limitaciones de las tarjetas de cr\u00e9dito. Imag\u00ednate, mejor que imprimir billetes.\u00a0\u00a0 <em> \u00a0<\/em><\/p>\n<p><em>\u00bfC\u00f3mo lo hicieron?<\/em><\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195143\/metel-live-photo.jpg\" alt=\"\" width=\"1280\" height=\"840\"><\/p>\n<p>Los criminales infectaron con \u00e9xito las computadoras de los empleados de los bancos mediante correos electr\u00f3nicos de <em><a href=\"https:\/\/es.wikipedia.org\/wiki\/Phishing#Intentos_recientes_de_phishing\" target=\"_blank\" rel=\"noopener nofollow\">spear phishing<\/a><\/em> que inclu\u00edan archivos ejecutables maliciosos, o a trav\u00e9s de las vulnerabilidades de los navegadores. Una vez estando dentro de la red, utilizaban software leg\u00edtimo para acceder a otros PCs hasta llegar al dispositivo que estaban buscando, el que tiene acceso a las transacciones bancarias. En este caso, a las computadoras de los teleoperadores o el equipo de asistencia.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">Las predicciones de <a href=\"https:\/\/twitter.com\/KasperskyES?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@KasperskyES<\/a> en <a href=\"https:\/\/twitter.com\/hashtag\/ciberseguridad?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ciberseguridad<\/a> para #2016 <a href=\"https:\/\/t.co\/ikrv5xkySK\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/ikrv5xkySK<\/a> <a href=\"https:\/\/t.co\/PWssFW2BVD\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/PWssFW2BVD<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/677541555721412608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 17, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Por lo tanto, cada vez que los criminales detectaban la tarjeta de un banco que se hab\u00eda visto comprometido en el cajero autom\u00e1tico de otro banco, el sistema infectado deshac\u00eda de forma autom\u00e1tica las transacciones. Por lo tanto, el saldo de las tarjetas segu\u00eda siendo el mismo, permitiendo que el cibercriminal sacara una cantidad de dinero limitada solo por la cantidad de dinero en efectivo de la que dispusiera el cajero autom\u00e1tico. Los criminales repitieron este mismo proceso en\u00a0varios\u00a0cajeros autom\u00e1ticos.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Phishing?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Phishing<\/a>: qu\u00e9 es y 10 consejos para protegerte <a href=\"https:\/\/t.co\/JRJV7FYGTU\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/JRJV7FYGTU<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ciberseguridad?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ciberseguridad<\/a> <a href=\"https:\/\/t.co\/SHcAtZsIzG\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/SHcAtZsIzG<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/677825682680979456?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 18, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Por lo que sabemos, la banda es relativamente peque\u00f1a y est\u00e1 compuesta por un m\u00e1ximo de diez personas. Parte del equipo habla ruso y no hemos detectado ninguna infecci\u00f3n fuera de Rusia. Los hackers siguen activos y en busca de nuevas v\u00edctimas.<\/p>\n<p><strong>Astutos criminales<\/strong><\/p>\n<p>Los criminales del grupo GCMAN llevaron a cabo una operaci\u00f3n similar, pero, en lugar de robar dinero de los cajeros autom\u00e1ticos, lo transfer\u00edan a servicios de moneda electr\u00f3nica.<\/p>\n<p>Para acceder a la red, los miembros de GCMAN utilizaron correos electr\u00f3nicos de <em>spear phishing<\/em> que conten\u00edan archivos adjuntos maliciosos. Se introdujeron en los dispositivos de los responsables de recursos humanos y contabilidad y esperaron hasta que los administradores de estos sistemas iniciaran sesi\u00f3n. A veces aceleraban el proceso interrumpiendo el funcionamiento de Microsoft Word o de 1C (un programa de contabilidad muy popular en Rusia). Cuando el usuario ped\u00eda ayuda y el administrador del sistema intentaba resolver el problema, los criminales aprovechaban la ocasi\u00f3n para hacerse con la contrase\u00f1a del administrador.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-large wp-image-7667\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195143\/CGMAN-1024x736.png\" alt=\"CGMAN\" width=\"1024\" height=\"736\"><\/p>\n<p>Seguido de esto, los miembros de GCMAN viajaron a trav\u00e9s de la red corporativa del banco hasta que encontraron un dispositivo, que pudiera transferir dinero a diferentes servicios de moneda electr\u00f3nica sin levantar la voz de alarma. Algunas organizaciones criminales, pudieron hacerlo incluso utilizando <em>software <\/em>leg\u00edtimo y herramientas comunes para realizar pruebas de penetraci\u00f3n como Putty, VNC o Meterpreter.<\/p>\n<p>Estas operaciones se realizan a trav\u00e9s de un <a href=\"https:\/\/es.wikipedia.org\/wiki\/Cron_%28Unix%29\" target=\"_blank\" rel=\"noopener nofollow\"><em>script<\/em> cron<\/a>, que transfiere autom\u00e1ticamente peque\u00f1as sumas de dinero cada minuto, hasta un total de unos 200 d\u00f3lares a la vez, ya que este es el l\u00edmite para realizar transacciones financieras an\u00f3nimas en Rusia. No cabe duda de que estos ladrones actuaron con mucha cautela y siguieron actuando en las sombras durante un a\u00f1o y medio, hackeando de forma sigilosa gran cantidad de dispositivos y cuentas.<\/p>\n<p>Por lo que sabemos, el grupo GCMAN es muy peque\u00f1o y est\u00e1 formado \u00fanicamente por uno o dos miembros, que casualmente tambi\u00e9n hablan ruso.<\/p>\n<p><strong>El regreso de Carbanak<\/strong><\/p>\n<p>El grupo Carbanak lleva en funcionamiento en Internet desde el 2013. De vez en cuando desaparece y luego reaparece con un nuevo plan de ataque. Recientemente, el perfil de las v\u00edctimas Carbanak se ha ampliado. Ahora sus ataques est\u00e1n dirigidos a los departamentos financieros de cualquier organizaci\u00f3n de inter\u00e9s, no solo a los bancos. Este grupo <a href=\"https:\/\/latam.kaspersky.com\/blog\/el-robo-del-siglo-hackers-se-llevan-mil-millones-de-dolares\/5023\/\" target=\"_blank\" rel=\"noopener\">provoc\u00f3 p\u00e9rdidas millonarias<\/a> en a varias compa\u00f1\u00edas de todo el mundo. Despu\u00e9s desaparecieron durante un tiempo y regresaron hace cuatro meses con un nuevo plan.<\/p>\n<p>Para el hackeo y el robo, estos criminales utilizan herramientas y m\u00e9todos similares a las APT. Para la infecci\u00f3n inicial de una red corporativa utilizan campa\u00f1as de <em>spear phishing<\/em>: un empleado abre un archivo adjunto recibido en un correo electr\u00f3nico e instala el <em>malware<\/em> desarrollado por Carbanak, sin ser consciente de ello.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-large wp-image-7668\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/02\/05195142\/inf_Carbanak2-1024x736.png\" alt=\"inf_Carbanak2\" width=\"1024\" height=\"736\"><span class=\"share-body\"><span class=\"commentary js-truncate-commentary\"><br>\n<\/span><\/span><\/p>\n<p>En cuanto una computadora se infecta, los delincuentes buscan el acceso a la cuenta del administrador del sistema, robando sus credenciales y utiliz\u00e1ndolas para hackear el controlador de dominio y robar el dinero de las cuentas bancarias o incluso cambiar los datos del due\u00f1o de la empresa.<\/p>\n<p>Por lo que sabemos, Carbanak es un grupo internacional compuesto por criminales de Rusia, China, Ucrania y otros pa\u00edses europeos. La banda se compone de decenas de personas. Puedes leer m\u00e1s sobre Carbanak en <a href=\"https:\/\/latam.kaspersky.com\/blog\/el-robo-del-siglo-hackers-se-llevan-mil-millones-de-dolares\/5023\/\" target=\"_blank\" rel=\"noopener\">este post<\/a>.<\/p>\n<p><strong>Trabajo en un banco. \u00bfQu\u00e9 debo hacer?<\/strong><\/p>\n<p>Si trabajas en una organizaci\u00f3n financiera, tienes que estar siempre alerta. Como ya hemos visto en los casos anteriores, podr\u00edas ser t\u00fa ese usuario que, accidentalmente, invita a los cibercriminales a entrar en el sistema de tu oficina. No te gustar\u00eda ser esa persona, por lo que, para evitar que esto suceda, te recomendamos leer los siguientes art\u00edculos:<\/p>\n<ul>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/por-que-el-phishing-es-tan-lucrativo-para-los-cibercriminales\/3994\/\" target=\"_blank\" rel=\"noopener\">Por qu\u00e9 funciona el <em>phishing <\/em>y c\u00f3mo evitarlo<\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/manten-siempre-actualizada-tu-proteccion\/4630\/\" target=\"_blank\" rel=\"noopener\">Por qu\u00e9 debes actualizar tu <em>software<\/em><\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/ransomware-10-tips\/6415\/\" target=\"_blank\" rel=\"noopener\">C\u00f3mo evitar ser v\u00edctima de un troyano<\/a><\/li>\n<\/ul>\n<p>En resumen, <a href=\"https:\/\/kas.pr\/KIS16LAT\" target=\"_blank\" rel=\"noopener\">las soluciones de seguridad de Kaspersky Lab<\/a> detectan y desmantelan todo el <em>malware<\/em> conocido creado por Carbanak, Metel y GCMAN.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ahora ya aprendieron a robar dinero directamente de los bancos. \u00bfC\u00f3mo pas\u00f3 esto?<\/p>\n","protected":false},"author":522,"featured_media":6639,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737,3144],"tags":[506,122,1677,294,2342,1261,2341,2339,2344,404],"class_list":{"0":"post-6638","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"category-special-projects","11":"tag-amenaza","12":"tag-apt","13":"tag-carbanak","14":"tag-finanzas","15":"tag-gcman","16":"tag-great","17":"tag-metel","18":"tag-sas-2016","19":"tag-thesas2016","20":"tag-troyanos-bancarios"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/metel-gcman-carbanak\/6638\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/metel-gcman-carbanak\/6649\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/metel-gcman-carbanak\/6728\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/metel-gcman-carbanak\/7650\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/metel-gcman-carbanak\/7418\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/metel-gcman-carbanak\/10777\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/metel-gcman-carbanak\/11236\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/metel-gcman-carbanak\/5195\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/metel-gcman-carbanak\/5963\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/metel-gcman-carbanak\/6945\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/metel-gcman-carbanak\/10350\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/metel-gcman-carbanak\/10777\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/metel-gcman-carbanak\/11236\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/metel-gcman-carbanak\/11236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenaza\/","name":"amenaza"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=6638"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6638\/revisions"}],"predecessor-version":[{"id":16118,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/6638\/revisions\/16118"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/6639"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=6638"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=6638"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=6638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}