A finales de
Abril, diversos bancos mexicanos registraron que estaban sufriendo fallas en sus sistemas de pagos y transferencias interbancarios. En este caso, el
SPEI (Sistema de Pagos Electrónicos Interbancarios), que es administrado por el Banco de México(Banxico) por ser la institución financiera central del país, fue lo que presentó problemas.
El sistema SPEI de México es una red doméstica similar al sistema de mensajería global
SWIFT que mueve miles de millones de dólares diariamente.
El 27 de abril las transferencias electrónicas de los bancos se volvieron lentas. Siendo viernes y fin de mes, varios mexicanos esperaban el pago de sus salarios por lo que algunos usuarios comenzaron a denunciar las irregularidades. El Banco de México fue el primero en notar que existían varios movimientos extraños en las transferencias bancarias a través de SPEI. En México, el banco central ha utilizado y ha desarrollado esta plataforma para homogeneizar las transacciones electrónicas con todas las instituciones bancarias del país. Al notar las irregularidades, el Banco de México ordenó el cierre del sistema.
Aunque se cree que fue un intento de ciberataque o una vulnerabilidad en el SPEI lo que causó que miles de trabajadores no recibieran sus pagos, Banxico rechazó la posibilidad. En su lugar acusó a los bancos afectados de ser los responsables del problema, y les ordenó trabajar en un protocolo de contingencia que provocaría retrasos en los movimientos realizados.
Este protocolo de contingencia pone las transacciones en manos humanas, por lo que aunque han sido capaces de realizar algunos pagos y de retornar dinero a las cuentas originales de aquellos movimientos que no se completaron, toma una considerable cantidad de tiempo el realizar todo esto.
Luego se confirmaron
más problemas. En una reunión de emergencia,
Banxico decidió desconectar a más bancos del SPEI tras encontrar una nueva vulnerabilidad en los servicios de un proveedor. Todos los bancos que tienen a Apesa como proveedor han sido desconectados del SPEI, y se les ha obligado a operar por medio del COAS (Cliente de Operación Alterno SPEI), el mismo protocolo de contingencia que ya está en utilización por los otros afectados.
Los problemas ya se veían venir; y ahora parecen confirmarse. El hackeo a diferentes entidades bancarias dejó un saldo de entre 300 y 400 millones de pesos (U$S15 a 20 millones) desaparecidos.
Sin embargo, una vez más se rehusaron a compartir ni explicar las razones, la vulnerabilidad encontrada, o incluso cuáles serían las instituciones que han sido afectadas. Solo rechazan, una vez más, que haya sido un ciberataque el origen del problema.
Entre los afectados se encuentran los bancos Afirme, Banco del Bajío, Ve por Más, Inbursa, JPMorgan, Zurich y otros que no han sido mencionados.
Aunque ya van 3 semanas de problemas, a los clientes se les ha dejado a ciegas en cuanto a una razón o solución de los problemas y el Banco de México minimizando este hackeo; pero el día de hoy la bomba millonaria ha estallado.
Según Reuters, son alrededor de 300 millones de pesos los que han sido robados por ciberdelincuentes. Y el problema afectó a todo el mundo: desde hace semanas, miles de personas recibieron tarde su nómina (incluso días después).
Uno de los bancos más afectados fue Banorte con alrededor de 150 millones de pesos faltantes.
Así pasó...
Los delincuentes crearon órdenes fantasmas en banca online para transferir fondos a cuentas falsas. El dinero fue retirado inmediatamente. No, no fue una gran operación maestra.
Los montos de estas órdenes fantasmas iban de decenas de miles de pesos hasta cientos de miles. Y sí, Banorte fue el más golpeado. Pero los delincuentes no actuaron solos. El dinero fue enviado, sí, a cuentas falsas; pero fueron sus cómplices dentro de casi todos los bancos los que retiraron el dinero en efectivo.
Por ahora, los bancos investigan a su propio personal: las sospechas de cómplices internos son fuertes. Las cantidades de dinero que se retiraron eran demasiado grandes como para pasar desapercibidas de esa forma.
"Estas transferencias no autorizadas se originaron en el sistema que conecta las instituciones con el sistema de pagos", dijo Lorenza Martínez, directora del SPEI en una entrevista, señalando que los bancos habrían migrado a una tecnología alternativa y más lenta para procesar los pagos. Martínez dijo que el sistema de transferencia interbancaria SPEI del banco central no se vio comprometido, pero que el problema tenía que ver con el software desarrollado por instituciones o proveedores externos para conectarse al sistema de pagos.
Hasta ahora ningún cliente se ha visto afectado, según declaraciones del Banco Central y diferentes entidades bancarias. Las transferencias fueron directo desde las cuentas de los bancos dentro del Banco Central.
¿Otro robo tipo SWIFT?
Las incidencias relacionadas con el sistema SPEI muestran similitudes con el
robo de 87 millones de dólares al Banco Central de Bangladesh ocurrido en 2016.
Mientras que
SPEI comunica a alrededor de 100 entidades, entre bancos, casas de bolsa, casas de cambio, afores y otras, dentro de territorio mexicano y bajo la supervisión del Banxico, SWIFT conecta a más de 11.000 instituciones bancarias y de valores que operan en 200 países a través de un sistema controlado por 3.000 instituciones financieras agrupadas en un esquema de cooperativa.
Ambos sistemas requieren de otros sistemas intermedios (middleware) que conectan a las entidades financieras con la red de transferencias. Dichos sistemas intermedios pueden ser desarrollados por la propia entidad o por un proveedor externo. En el caso de SWIFT, el middleware que fue vulnerado para llevar a cabo el fraude al Banco de Bangladesh fue el programa para servidores SWIFT’s Alliance Access,
de acuerdo con BAE Systems citado por Reuters.
En México, aunque se ha dado a conocer que el proveedor del software que funciona en la plataforma de conexión entre la banca mexicana y el SPEI es
LGEC, Sistemas de Integración y Enlace, Fernando Gutiérrez, su director general, dijo en
una entrevista con El Economista que
"el fallo reportado no necesariamente proviene de su software" y que no son el único proveedor de este tipo de aplicativos dentro del mercado mexicano.
Continuará...
Fuente:
FayerWayer
Si la conexión es exitosa este intentará utilizar el exploit y descargar la carga útil.
Puerto 81: CCTV-DVR
Puerto 8443: Netgear R7000 y R6400
Puerto 80: Invocar Shell de los servidores comprometidos.
Si se realiza la explotación de la vulnerabilidad, este malware descarga un payload desde una página web, en este caso, hxxp://185.246.152.173/exploit/owari.{extension}. Dentro de esa página web, existen varias muestras del botnet Omni, el cual fue aparentemente utilizado en la vulnerabilidad de Gpon CVE-2018-10561.
Encontrar la conexión entre los botnets Wicked, Sora, Owari y Omni nos llevó a una entrevista en abril pasado con un investigador de seguridad que creemos que es el autor de estas variantes de botnet. Básicamente, el autor que usa el pseudo nombre "Wicked" confirmó que es el autor tanto de Sora como de Owari. Cuando se le preguntó sobre el futuro de Sora y Owari, la respuesta de Wicked fue: "SORA es un proyecto abandonado por el momento y seguiré trabajando en OWARI. No verán un tercer proyecto de mí en el corto plazo, ya que continúo expandiendo mis actuales" 
