Carbanak: APT con origen en Rusia
A principios de febrero tuvimos las primeras noticias relacionadas con esta amenaza, afectando principalmente a empleados de entidades bancarias. Después de varios meses de actividad los analistas han tenido la oportunidad de analizar de forma minuciosa una copia de Carbanak [PDF], vinculándolo de forma directa con el Gobierno de Rusia.
La historia de Carbanak comenzó cuando un banco de Ucrania pidió ayuda a Kaspersky con una investigación forense: le estaban robando misteriosamente el dinero desde los cajeros automáticos. Al principio creímos que se trataba del programa malicioso Tyupkin. Carbanak es el nombre que usamos para referirnos a una campaña de ataques APT lanzados contra instituciones financieras, pero sin limitarse a ellas. La principal diferencia con otros ataques APT es que los atacantes no buscan datos, sino dinero. Decimos que son ataques tipo APT, aunque los ataques no son, estrictamente hablando, avanzados. Propiamente dicho, la principal característica que define a los atacantes es la persistencia.
Teniendo en cuenta que hoy en día los malware disponen de al menos un servidor de control remoto, los expertos en seguridad han detectado que este establece conexiones con varios servidores, una de estas con uno que se vincula al servicio de inteligencia ruso. El listado de los países afectados a día de hoy está conformado por ejemplo por Alemania, Suiza, Reino Unido, Francia, España, China o el país vecino Ucrania.
Las cifras hablan por si solas, suponiendo unas pérdidas que ascienden a más de 9 millones de euros entre todos los países mencionados, cifra que aumentará aún más ya que esta misma semana ha comenzado una nueva oleada de correos para difundir esta programa malicioso.
Con al menos cuatro servidores, una vez instalado en el equipo este realiza diversas conexiones para recibir instrucciones y el envío de los datos recopilados. Es necesario matizar de nuevo que se trata de un malware que en principio no está programado para afectar a usuarios particulares, sino a compañías y entidades bancarias.
Fuente: Redes Zone y VirusList
La historia de Carbanak comenzó cuando un banco de Ucrania pidió ayuda a Kaspersky con una investigación forense: le estaban robando misteriosamente el dinero desde los cajeros automáticos. Al principio creímos que se trataba del programa malicioso Tyupkin. Carbanak es el nombre que usamos para referirnos a una campaña de ataques APT lanzados contra instituciones financieras, pero sin limitarse a ellas. La principal diferencia con otros ataques APT es que los atacantes no buscan datos, sino dinero. Decimos que son ataques tipo APT, aunque los ataques no son, estrictamente hablando, avanzados. Propiamente dicho, la principal característica que define a los atacantes es la persistencia.
Teniendo en cuenta que hoy en día los malware disponen de al menos un servidor de control remoto, los expertos en seguridad han detectado que este establece conexiones con varios servidores, una de estas con uno que se vincula al servicio de inteligencia ruso. El listado de los países afectados a día de hoy está conformado por ejemplo por Alemania, Suiza, Reino Unido, Francia, España, China o el país vecino Ucrania.
Un puerta trasera que posibilita la llegada de Carbanak
En primer lugar se realiza la distribución de una puerta trasera recurriendo a oleadas de correos electrónicos spam o páginas web hackeadas. Una vez que la puerta trasera llega al equipo se produce el robo de las credenciales utilizadas por los usuarios de dicho equipo para posteriormente realizar la descarga de un ejecutable que instalará la amenaza que nos ocupa.Con al menos cuatro servidores, una vez instalado en el equipo este realiza diversas conexiones para recibir instrucciones y el envío de los datos recopilados. Es necesario matizar de nuevo que se trata de un malware que en principio no está programado para afectar a usuarios particulares, sino a compañías y entidades bancarias.
Fuente: Redes Zone y VirusList
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!