Grupo Criminal Utilizó Spear-phishing para Robar 25.7 Millones de Dólares de Bancos Rusos

En un reporte publicado el jueves 17 de marzo, investigadores de seguridad rusos divulgaron información sobre una serie de ataques realizados por el grupo criminal denominado Buhtrap, el cual hurtó fondos de instituciones bancarias rusas. Group-IB señala que “desde agosto de 2015 a febrero de 2016, Buhtrap logró perpetrar 13 ataques exitosos contra bancos rusos por un valor total de 1,800 millones de rublos ($25.7 millones de dólares). 

Las actividades de la banda criminal en cuestión se registraron por primera vez en 2014, cuando pusieron en la mira a los clientes de bancos rusos, y hasta agosto de 2015. Durante este periodo, se observó que comenzaron a atacar a instituciones financieras. Los atacantes utilizaron correos electrónicos con spear-phishing cuyos archivos adjuntos eran documentos de Word que contenían malware, cuya descarga abría un backdoor que permitía que los atacantes registraran pulsaciones de teclas, espiaran la pantalla de la víctima, robaran datos y descargaran más malware.

El reporte agrega: “Buhtrap es el primer grupo de hackers que utiliza un gusano de red para infectar toda la infraestructura de un banco, lo que aumenta considerablemente la dificultad de eliminar todas las funciones maliciosas de la red”. Los bancos afectados desactivaron sus sistemas, lo que provocó un retraso considerable en sus servicios y otras pérdidas. Bautizado por los investigadores como BuhtrapWorm, el gusano tiene la capacidad de anidar en la red afectada, siempre y cuando esté infectado por lo menos un sistema.

Por tanto, el grupo exploró varios métodos para propagar el malware, lo cual le permitió penetrar a los sistemas de los clientes de los bancos y a las redes corporativas. Los correos de phishing fueron una táctica efectiva para aparentar que se trataba de un mensaje legítimo del Banco Central, o como una treta muy efectiva que engañó a los especialistas de seguridad que son miembros del club “Anti-pérdida”.

Durante el periodo entre mayo y agosto de 2015, los sitios web comprometidos de portales de contabilidad, entidades legales e incluso de sitios de construcción se utilizaron para llevar a los ejecutivos y personal bancario a un servidor envenenado que hospedaba un kit de explotación que instala el malware.

Además de esto, también se utilizó una versión modificada de software legítimo para infectar a los sistemas. El sitio Ammyy, creado por desarrolladores de Ammyy Admin, un software de gestión remota legítimo, tenía una versión que estaba infectada con la malware Buhtrap.

El reporte también reveló cómo Buhtrap logró atacar exitosamente a las estaciones de trabajo que corren la Automated Working Station of the Central Bank Client (AWS CBC)  – software libre que entrega documentos de pago a nombre del Banco Central. Los atacantes utilizaron un agujero que les permitió remplazar las transacciones de órdenes de pago oficiales en la AWS CBC con uno que redirigía los pagos a las cuentas que ellos controlaban.

Mediante estos métodos, Buhtrap logró amasar 1,800 millones de rublos ($25 millones de dólares) en sólo seis meses – la mayor cantidad robada a un banco ruso que se había registrado anteriormente era de casi 600 millones de rublos ($9 millones de dólares), mientras que la menor cantidad era de 25 millones de rublos ($370,000 dólares).

El reporte destaca que la banda no utilizó tácticas sofisticadas. Dado el estricto cumplimiento con las medidas de seguridad y los programas educativos reforzados para los empleados sobre ciberseguridad, ataques como este podrían haberse mitigado.

Y el reporte finaliza diciendo: “Y lo más importante, si usted ha detectado rastros de un ataque dirigido en cualquier etapa, necesita recurrir a compañías especializadas para que los analicen. Las respuestas incorrectas al ataque harían que la actividad de los atacantes sólo se detectaran parcialmente, lo que permitiría que los criminales logren su objetivo: robar dinero”. 


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.