Malware
“Ciberatracos” millonarios:
la
pesadilla de las entidades financieras
la
pesadilla de las entidades financieras
Durante años, conseguir dinero se ha convertido en el principal objetivo
de los ciberdelincuentes lo que ha puesto a los sistemas
financieros en el punto de mira. Durante más de una década los ataques se han
dirigido hacia el eslabón más débil de la cadena: el usuario final que utiliza
servicios de banca online.
Esta estrategia supone algunas ventajas para los
cibercriminales, como la escasa seguridad en el usuario final, el robo de
cantidades pequeñas que pueden pasar desapercibidas durante cierto tiempo, etc…
Sin embargo, también presenta ciertos inconvenientes principalmente
relacionados con la necesidad de encontrar ‘mulas’ que trasporten el dinero,
encontrar e infectar víctimas que utilicen alguno de los bancos atacados
o evitar la acción de soluciones anti-malware.
Esta táctica puede reportar mucho dinero a los
atacantes, pero también requiere de un gran esfuerzo por su parte
La pregunta del millón es: ¿dónde están las grandes
cantidades de dinero? Sin lugar a dudas, en las propias entidades
financieras. Penetrar en ellas es una tarea difícil y todavía resulta más
complicado entender cómo funcionan sus sistemas internos para poder atacarlos,
llevarse el botín y marcharse sin dejar huella. Se necesita una gran inversión
para recopilar toda la información necesaria para este tipo de ataque. Además,
no resulta nada fácil de realizar y puede requerir de varios meses, incluso
años, de cuidadosa planificación. Aun así, merece la pena si consigues llevarte
mil millones de dólares en un sólo golpe.
Tres ejemplos de robos millonarios
Eso es básicamente lo
que sucedió en el Banco
Central de Bangladesh en febrero de este año, cuando un grupo de
atacantes consiguió infectar el sistema
con malware creado específicamente para la ocasión e intentó
realizar transferencias fraudulentas por un valor de 951 millones de dólares.
Dicha cantidad de dinero se encontraba en la cuenta que el Banco Central de
Bangladesh tenía en el Banco de la Reserva Federal de Nueva York.
Afortunadamente, la mayoría de trasferencias pudieron ser bloqueadas y
‘únicamente’ se robaron 81 millones de dólares. Pero este no es el único caso.
Tien Phon Bank, un
banco comercial vietnamita, sufrió un ataque similar en el último trimestre de
2015. En dicha ocasión los ciberdelincuentes también trataron de realizar
transferencias a través de SWIFT pero la entidad se dio cuenta a tiempo y logró
bloquear las transferencias que ascendían a 1 millón de dólares. Unos pocos
meses antes, en enero de 2015, un banco
ecuatoriano –Banco del Austro– sufrió un ataque parecido y le lograron robar 9
millones de dólares.
En todos ellos se utilizó malware para llevar a cabo
el ataque y las transferencias de dinero fueron realizadas a través de la
red SWIFT (Sociedad para las
Comunicaciones Interbancarias y Financieras Mundiales). Un posible
ataque a esta red sería la mayor preocupación, ya que la plataforma SWIFT es
utilizada por la mayoría de entidades financieras mundiales para realizar
transferencias bancarias en un entorno seguro y si resultase vulnerable ante un
ataque externo todo el sistema estaría en peligro. Afortunadamente, parece que
este no ha sido el caso y SWIFT ha publicado una nota
de prensa en la que afirma claramente lo siguiente: “Ni la
red, ni los servicios centrales de mensajería, ni el software de SWIFT se han
visto comprometidos.”
El diseño del malware utilizado nos indica que los
atacantes buscarán más bancos con fallos en su modelo de seguridad.
Sin embargo, esto depende del punto de vista: los ciberdelincuentes lograron utilizar la
red SWIFT para perpetrar estos atracos. Y para ello han tomado una
estrategia similar a la descrita al principio de este artículo: ir a por el
eslabón más débil de la cadena. SWIFT proporciona un entorno seguro, pero al
final cada institución financiera tiene su propio sistema interno que debe
comunicarse con esta red. Del mismo modo que los ciberdelincuentes van a por
los clientes finales de los bancos con troyanos bancarios, ahora en lugar de ir
a por la red SWIFT van tras las entidades que se conectan a ella.
¿Cómo sucedieron estos ataques?
Hay muchas cosas que no se saben aún y muchas de
ellas no llegarán a conocerse nunca. Los criminales han conseguido ocultar sus
huellas y de hecho, el objetivo principal de unos de los ejemplares de malware
utilizados en el ataque era eliminar su rastro. Desde luego, hay una cosa de la
que estamos absolutamente seguros: se empleó malware en el ataque. Pero ¿cómo
entró en la red?
Existen dos opciones: o se contó con ayuda desde el
interior de la institución o se trató de un ataque externo a través de
Internet. Ambas teorías son plausibles y todavía más tras comprobarse que la
seguridad de la infraestructura del Banco Central de Bangladesh no era tan
buena como cabía esperar.
Si analizamos atentamente el incidente de
Bangladesh, se trató de una ataque altamente sofisticado y dirigido
específicamente a ellos, pero el diseño del malware utilizado (un fichero de
configuración externo, lo que no tiene sentido si se trata de un único golpe)
nos indica que encontraremos nuevas víctimas, según la información que
tenemos de otros ataques.
SWIFT advierte a los bancos de que su prioridad debe
ser asegurarse de tomar todas las medidas preventivas y de detección necesarias
para proteger su entorno.
Los delincuentes van a seguir intentándolo y antes o
después conseguirán su objetivo. De todas formas, sabemos qué es lo que buscan
(dinero) y qué equipos van a intentar atacar (aquellos que se conecten a la red
de SWIFT). El acceso a la red SWIFT es altamente restringido, sólo se puede
efectuar desde determinados equipos y sólo se permite su uso a ciertos
usuarios. Estos equipos tienen que estar altamente fortificados y no nos
referimos únicamente a tener todo su software actualizado y utilizar una
solución anti-malware.
Todos los procesos que se ejecuten deben ser
monitorizados en tiempo real, registrándose todo lo que suceda y buscando
comportamientos no habituales. No importa si el ataque proviene de Internet o
cuenta con la ayuda de alguien de dentro de la organización. No se puede
permitir la ejecución de software no autorizado en dichos terminales, y los
autorizados deben ser protegidos con tecnologías anti-exploit y monitorizados
en tiempo real.
Por supuesto, si una persona tiene acceso físico a
un equipo que suponga un objetivo puede llegar a desactivar la solución de
seguridad que tenga instalada, lo cual en sí no es un problema siempre que se
genere una alerta en la consola que utiliza el equipo de seguridad. De hecho
¿hay mejor indicador de compromiso que alguien manipulando el software de
seguridad instalado en un sistema crítico?
Consejos para evitar “ciberatracos”
Una de las cosas más frustrantes por las que pasan
las víctimas de un ataque es la falta de información sobre el mismo. ¿Cómo
sucedió? ¿Cuándo empezó? ¿Cuánto duró? ¿Qué hicieron los delincuentes
una vez comprometieron los equipos? ¿Ha habido alguna fuga de información? Por
ejemplo, tras el ataque al Banco Central de Bangladesh se consiguieron
recuperar tres ejemplares de malware, pero eso fue todo lo que quedó.
Seguramente los atacantes emplearon muchas otras herramientas que fueron
eliminadas y de las que las víctimas no sabrán nunca nada.
El conocimiento es poder y saber cómo ha
sucedido un incidente ayudará a resolver cualquier fallo de seguridad o
vulnerabilidad del entorno.
Sólo existen unas pocas soluciones capaces de
ofrecer este nivel de servicio. Panda Security ha desarrollado Adaptive Defense para
este tipo de situaciones, una solución utilizada de forma activa por gran
número de infraestructuras sensibles como entidades financieras, gobiernos
y grandes empresas pertenecientes a distintos sectores (sanidad, hostelería,
seguros, servicios públicos, etc.) En todos los casos se trata de instituciones
que no sólo sufren los ataques más habituales, sino auténticos ataques
dirigidos contra sus activos.
El mejor consejo para solventar estos
ataques es contar con una solución cuya efectividad esté avalada por los
usuarios. Hemos tratado ya algunos de ellos, como el que afectó hace
unas semanas a una cadena
de hoteles de lujo , o el que sufrieron varias empresas
de transporte de petróleo.
Nuestra conclusión tras estudiar estos ataques es
que si estos bancos hubieran utilizado Panda Adaptive Defense en sus terminales conectados a
la red SWIFT, el robo podría haber sido detenido a tiempo.
No hay comentarios:
Publicar un comentario