Kaspersky Lab ha publicado los resultados de una investigaci\u00f3n realizada a lo largo de un a\u00f1o sobre la actividad de Lazarus, un grupo de hackers supuestamente responsable del robo de $81 millones de d\u00f3lares del Banco Central de Bangladesh en 2016. A partir del an\u00e1lisis forense de los artefactos dejados por el grupo en los bancos de Asia Sudoriental y Europa, Kaspersky Lab ha logrado pleno conocimiento de las herramientas maliciosas que el grupo utiliza y c\u00f3mo opera cuando ataca a instituciones financieras, casinos, desarrolladores de software para empresas inversionistas y negocios de cripto divisas de todo el mundo. Este conocimiento ayud\u00f3 a impedir a por los menos dos otras operaciones que ten\u00edan el objetivo de robar una gran cantidad de dinero de instituciones financieras.<\/p>\n
En febrero de 2016, un grupo de hackers (no identificados en ese momento) intent\u00f3 robar $851 millones de d\u00f3lares y logr\u00f3 transferir US$81 millones del Banco Central de Bangladesh. Este es considerado como uno de los mayores y m\u00e1s exitosos atracos cibern\u00e9ticos realizados hasta ahora. Investigaciones adicionales realizadas por analistas de diferentes compa\u00f1\u00edas de seguridad de TI, entre ellas Kaspersky Lab, revelaron que es altamente probable que los ataques fueran dirigidos por Lazarus, un conocido grupo de espionaje y sabotaje cibern\u00e9tico, responsable de una serie de ataques frecuentes y devastadores; tambi\u00e9n conocido por atacar empresas manufactureras, medios de comunicaci\u00f3n e instituciones financieras en al menos 18 pa\u00edses de todo el mundo desde el a\u00f1o 2009.<\/p>\n
A pesar de varios meses de inactividad posterior al ataque de Bangladesh, el grupo de Lazarus segu\u00eda activo. Se estaban preparando para llevar a cabo una nueva operaci\u00f3n y robar dinero a otros bancos y, una vez listos, ya ten\u00edan en la mira a una instituci\u00f3n financiera del sudeste asi\u00e1tico. Al ser obstaculizados por los productos de Kaspersky Lab y la investigaci\u00f3n posterior, se retrasaron algunos meses m\u00e1s y entonces decidieron cambiar su operaci\u00f3n hacia Europa. Pero tambi\u00e9n aqu\u00ed sus intentos fueron interrumpidos al ser detectados por el software de seguridad de Kaspersky Lab, apoyado por la r\u00e1pida respuesta a incidentes, el an\u00e1lisis forense y la ingenier\u00eda inversa de los investigadores principales de la compa\u00f1\u00eda.<\/p>\n
La f\u00f3rmula Lazarus<\/p>\n
Seg\u00fan los resultados del an\u00e1lisis forense de estos ataques, los investigadores de Kaspersky Lab reconstruyeron el modus operandi del grupo.<\/p>\n
\u00b7 Brecha inicial: Violan un solo sistema dentro de un banco, ya sea con c\u00f3digo vulnerable accesible de manera remota (por ejemplo, en un servidor web) o mediante un ataque de watering hole, plantado en un sitio web benigno. Cuando se visita este sitio, la computadora de la v\u00edctima (empleado del banco) recibe el malware, lo que trae componentes adicionales.
\n\u00b7 Se establece un punto de apoyo: Luego, el grupo migra a otros sitios anfitriones de bancos e implementa puertas traseras persistentes, ya que el malware les permite ir y venir cuando quieran.
\n\u00b7 Reconocimiento interno: Posteriormente, el grupo pasa d\u00edas y semanas aprendiendo detalles de la red e identificando recursos valiosos. Uno de estos recursos puede ser un servidor para hacer copias de seguridad, donde se almacena la informaci\u00f3n de autenticaci\u00f3n; un servidor para el correo o el controlador de dominio completo con claves para cada “puerta” de la empresa; as\u00ed como servidores que almacenan o procesan registros de transacciones financieras.
\n\u00b7 Entrega y robo: Finalmente, implementan un malware especial que puede evitar las funciones de seguridad interna del software financiero y emitir transacciones fraudulentas en nombre del banco.<\/p>\n
Geograf\u00eda y Atribuci\u00f3n<\/p>\n
Los ataques investigados por los expertos de Kaspersky Lab duraron varias semanas. Sin embargo, los atacantes pudieron operar sin ser detectados durante meses. Por ejemplo, durante el an\u00e1lisis del incidente en el sudeste de Asia, los expertos descubrieron que los hackers pudieron penetrar la red bancaria al menos siete meses antes del d\u00eda en que el equipo de seguridad del banco solicit\u00f3 respuesta a un incidente. En realidad, el grupo ten\u00eda acceso a la red de ese banco, incluso antes del d\u00eda del incidente de Bangladesh.<\/p>\n
De acuerdo con los datos de Kaspersky Lab, desde diciembre de 2015, las muestras de malware relacionadas con la actividad del grupo Lazarus aparecieron en instituciones financieras, casinos, desarrolladores de software para compa\u00f1\u00edas inversionistas y negocios de cripto divisas en Brasil, M\u00e9xico, Chile, Costa Rica, Uruguay, Corea, Bangladesh, India, Vietnam, entre otros pa\u00edses. Las muestras m\u00e1s recientes conocidas por Kaspersky Lab fueron detectadas en marzo de 2017, lo que demuestra que los atacantes no tienen intenci\u00f3n de detenerse.<\/p>\n
A pesar de que los atacantes fueron lo suficientemente cuidadosos para limpiar sus huellas, cometieron un grave error en al menos un servidor que penetraron de otra campa\u00f1a, tras haber dejado un artefacto importante. Para preparar la operaci\u00f3n, el servidor se configur\u00f3 como centro de mando y control del malware. Las primeras conexiones realizadas el d\u00eda de la configuraci\u00f3n provienen de unos pocos servidores VPN\/proxy que indican un per\u00edodo de prueba para el servidor C&C. Sin embargo, hubo una breve conexi\u00f3n ese d\u00eda que proven\u00eda de una variedad de direcciones IP muy raras en Corea del Norte.<\/p>\n
Seg\u00fan los investigadores, esto podr\u00eda significar varias cosas:<\/p>\n
\u00b7 Los atacantes se conectaron desde esa direcci\u00f3n IP en Corea del Norte.
\n\u00b7 Esta era una operaci\u00f3n de bandera falsa cuidadosamente planeada por otro grupo.
\n\u00b7 Alguien en Corea del Norte accidentalmente visit\u00f3 el URL de comando y control.<\/p>\n
El grupo Lazarus invierte mucho en nuevas variantes de su malware. Durante meses intentaron crear un conjunto de herramientas maliciosas que ser\u00edan invisibles para las soluciones de seguridad, pero cada vez que lo hac\u00edan, los especialistas de Kaspersky Lab lograban identificar caracter\u00edsticas \u00fanicas de c\u00f3mo creaban su c\u00f3digo, permiti\u00e9ndoles seguir rastreando las nuevas muestras. Ahora, los atacantes han estado relativamente tranquilos, lo que probablemente significa que est\u00e1n haciendo una pausa para volver a revisar su arsenal.<\/p>\n
“Estamos seguros de que volver\u00e1n pronto. En general, ataques como los que se llevaron a cabo por el grupo de Lazarus muestran que una mala configuraci\u00f3n puede dar como resultado un fallo de seguridad importante, la cual puede costar cientos de millones de d\u00f3lares en p\u00e9rdidas. Esperamos que los directivos de bancos, casinos y compa\u00f1\u00edas inversionistas de todo el mundo tengan mucha cautela con el nombre Lazarus”, dijo Vitaly Kamluk, Director del Equipo de Investigaci\u00f3n y An\u00e1lisis Global para Asia Pac\u00edfico en Kaspersky Lab.<\/p>\n
Los productos de Kaspersky Lab detectan y bloquean exitosamente el malware utilizado por el agente de amenazas de Lazarus con los siguientes nombres espec\u00edficos:<\/p>\n
\u00b7 HEUR:Trojan-Banker.Win32.Alreay*
\n\u00b7 Trojan-Banker.Win32.Agent*<\/p>\n
La compa\u00f1\u00eda tambi\u00e9n emite indicadores de fallos cruciales (IOC, por sus siglas en ingl\u00e9s) y otros datos para ayudar a las organizaciones a buscar rastros de estos grupos de ataque en sus redes corporativas.<\/p>\n
Para obtener m\u00e1s informaci\u00f3n, visite Securelist.com.<\/p>\n
Instamos a todas las organizaciones a analizar cuidadosamente sus redes para detectar la presencia de muestras de malware de Lazarus y, si se detectan, desinfectar sus sistemas e informar sobre la intrusi\u00f3n a los equipos encargados de hacer cumplir la ley y de respuesta a incidentes.<\/p>\n
Para obtener m\u00e1s informaci\u00f3n sobre los ataques financieros del grupo Lazarus, visite nuestro blog en Securelist.com.<\/p>\n
Acerca de Kaspersky Lab<\/p>\n
Fundada en 1997, Kaspersky Lab es una empresa global de ciberseguridad. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras cr\u00edticas, gobiernos y consumidores de todo el mundo. El portafolio de seguridad integral de la compa\u00f1\u00eda incluye protecci\u00f3n l\u00edder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evoluci\u00f3n. M\u00e1s de 400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que m\u00e1s valoran.<\/p>\n
M\u00e1s informaci\u00f3n en http:\/\/latam.kaspersky.com.<\/p>\n","protected":false},"excerpt":{"rendered":"
Kaspersky Lab ha publicado los resultados de una investigaci\u00f3n realizada a lo largo de un a\u00f1o sobre la actividad de Lazarus, un grupo de hackers supuestamente responsable del robo de $81 millones de d\u00f3lares del Banco Central de Bangladesh en 2016.<\/p>\n","protected":false},"author":2706,"featured_media":9053,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,2737],"tags":[90,101,2911,38],"class_list":{"0":"post-9052","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-privacy","9":"tag-hackers","10":"tag-kaspersky-lab","11":"tag-lazarus","12":"tag-seguridad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/en-busca-de-lazarus-cazando-a-los-infames-hackers-para-evitar-grandes-robos-a-bancos\/9052\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/seguridad\/","name":"seguridad"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/9052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=9052"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/9052\/revisions"}],"predecessor-version":[{"id":11790,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/9052\/revisions\/11790"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/9053"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=9052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=9052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=9052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}