7 abr 2017

Tras los pasos de Lazarus, el grupo que robó el Banco Central de Blangladesh

Así opera Lazarus, el grupo de delincuentes que robo $81 millones de dls del Banco de Blangladesh. Una firma de seguridad monitoreo por un año la actividad de Lazarus, el grupo de ciberdelincuentes a quienes se les atribuye el robo de $81 millones dólares del Banco Central de Blangladesh en 2016. Durante ese tiempo, identificaron las herramientas maliciosas y cómo opera cuando ataca instituciones bancarias.
Lazarus, también conocido por atacar empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países desde el año 2009, cometió uno de los mayores y más exitosos atracos cibernéticos a la fecha. El seguimiento realizado por Kaspersky Lab notó que el grupo de delincuentes ya tenían en la mira a una nueva víctima: una institución financiera del sudeste asiático.

La empresa obstaculizó el ataque, y Lazarus optó por cambiar su operación hacía Europa. Una vez más los intentos fueron interrumpidos, narró Kaspersky Lab en un comunicado.

Modus operandi

Los resultados del análisis forense realizado por la firma de seguridad identificaron que el modo de operación de la banda de cibercriminales incluye cuatro fases.

La primera, consiste en la violación de alguno de los sistemas del banco, ya sea remotamente a través de un código de acceso vulnerable o mediante un ataque wateringhole aprovechándose de un exploit instalado. Una vez que se visita la web infectada, el equipo del usuario (empleado del banco, por ejemplo) recibe el malware con componentes adicionales.

El siguiente paso, es migrar a otros sitios anfitriones (hosts) del banco y desplegar puertas traseras permanentes, permitiendo al malware ir y venir.

Posteriormente, el grupo pasa días y semanas aprendiendo detalles de la red e identificando recursos valiosos. Ya sea un servidor para hacer copias de seguridad, donde se almacena la información de autenticación; un servidor para el correo o el controlador de dominio completo con claves para cada “puerta” de la empresa; así como servidores que almacenan o procesan registros de transacciones financieras.

Finalmente, despliega un malware especial capaz de evitar las funciones de seguridad interna del software financiero y emite transacciones fraudulentas en nombre del banco.

Durante el análisis del incidente en el sudeste de Asia, los expertos descubrieron que los delincuentes vulneraron la red bancaria al menos siete meses antes del día en que el equipo de seguridad del banco solicitó respuesta a un incidente. En realidad, el grupo tenía acceso a la red de ese banco, incluso antes del día del incidente de Bangladesh, mencionó la empresa en comunicado.

De acuerdo con los datos de Kaspersky Lab, desde diciembre de 2015, las muestras de malware relacionadas con la actividad del grupo Lazarus aparecieron en instituciones financieras, casinos, desarrolladores de software para compañías inversionistas y negocios de cripto divisas en Brasil, México, Chile, Costa Rica, Uruguay, Corea, Bangladesh, India, Vietnam, entre otros países. Las muestras más recientes conocidas por Kaspersky Lab fueron detectadas en marzo de 2017, lo que demuestra que los atacantes no tienen intención de detenerse.

Fuente: NetMedia

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!