La exorbitante suma de 1.000.000.000 dólares ha sido sustraída gracias a un masivo ataque informático a un centenar de instituciones financieras repartidas en treinta países, según revela la firma de seguridad Kaspersky Lab.
"El daño global puede valorarse en un mil millones de dólares", anunció a RT el experto de Kapersky Lab Serguéi Lozhkin.
Aunque la mayoría de los 100 bancos atacados se encuentra en Rusia, algunas de las instituciones financieras agredidas pertenecen a Japón, los Países Bajos, Suiza y EE.UU.
"Cada una de las instituciones [atacadas] podría haber perdido unos 10 millones de dólares", admitió.
Entre los diversos medios empleados para penetrar en los sistemas informáticos de los bancos los autores del crimenutilizaron correos electrónicos falsos de auténticas instituciones financieras, incluido el Banco Central de Rusia y aplicaciones de Microsoft Word.
Posteriormente, varios medios sofisticados permitieron a los 'hackers' entender cómo trabajan los empleados de las entidades financieras con los programas internos de la misma para después pasar datos de un ordenador a otro y, finalmente, obtener pleno acceso a todo el sistema de un banco.
"Al tener la víctima que recibía la carta, un empleado del banco, un viejo programa, la vulnerabilidad de tal sistema permitía al virus infectar la computadora", explicó.
"Posteriormente, se efectuaban de forma remota transferencias bancarias a cajeros automáticos para que determinadas personas llegasen a estos cajeros a recoger el dinero en efectivo", explicó el experto.
Los nombres de los bancos afectados no han sido aún revelados.
El plan empleado para el robo fue desvelado al detectarse que en varias entidades financieras ucranianas se registraron operaciones de retirada de dinero sin que efectivamente las cámaras de seguridad grabaran a individuos sacando el efectivo de los cajeros.
Para aclarar este misterio las entidades contrataron a Kaspersky Lab, que descubrió toda la trama del ataque. Esta sería posteriormente revelada para el público general por 'The New York Times'.
"Una nueva era del cibercrimen". El gigante ruso de seguridad informática Kaspersky Lab ha dado esta calificación honorífica a un ataque masivo que ha costado al sector bancario mundial unos 1.000 millones de dólares. La empresa hizo un análisis detallado del esquema del mayor robo bancario del siglo y se lo facilitó a RT.
"Los métodos de ataque son de un interés especial. Representan una tendencia nueva y preocupante en el mercado del crimen cibernético, donde los ataques son cada vez más sofisticados", asegura Kaspersky Lab en el informe proporcionado a RT.
La novedad consiste en que los 'hackers' asaltan la industria financiera directamente y no a través de sus clientes. Otra diferencia es que nunca se explotó una vulnerabilidad dentro del servidor: para procesar las transacciones fraudulentas, los piratas estudiaban los procesos internos de los bancos, identificando a quiénes debían suplantar a nivel local.
Víctimas
Los expertos registraron ataques contra aproximadamente 300 direcciones IP pertenecientes a 30 entidades bancarias, la mayoría rusas, en más de una veintena de países. Entre los más damnificados están además EE.UU., Alemania, China y Ucrania. Los piratas siguen actuando y están intentando ampliar sus actividades a Asia, Oriente Próximo, África, países del Báltico y de Europa central, advierte Kaspersky Lab. El total de los daños causados por la campaña bautizada 'Carbanak' de momento se estima en unos 1.000 millones de dólares.
RT/Kaspersky Lab.
Los primeros ataques de Carbanak se remontan a finales de 2013. Kaspersky Lab se involucró en la investigación unos meses más tarde, cuando un banco le solicitó ayuda para el caso de unos cajeros automáticos que dispensaban efectivo a personas ubicadas cerca de ellos pero sin interacción física, según las cámaras de seguridad. En estos cajeros automáticos no se detectó ningún 'software' malicioso, pero sí en un ordenador del banco al que estaban conectados. Poco después, el mismo 'malware' fue detectado en otro banco, donde los criminales lograron acceso a los sistemas bancarios en línea. El caso empezó a ganar envergadura.
Esquema del robo
De acuerdo con los investigadores, las infecciones iniciales se lograron a través de correos electrónicos de 'phishing' que explotaban vulnerabilidades en Microsoft Office 2003, 2007 y 2010 y Microsoft Word 97-2003. Los mensajes simulaban ser mensajes bancarios legítimos con documentos adjuntos titulados 'Invitación' o 'Concordancia con la ley federal', lo que bastaba para abrirlos. Para hacer el virus menos sospechoso, las últimas muestras de Carbanak iban firmadas digitalmente.
Kaspersky Lab.
Kaspersky Lab.
Una vez comprometida la cuenta, se usaba para reenviar el virus a más ordenadores: en ciertas ocasiones, resultaban infectadas centenares de computadoras de la misma entidad. En la mayoría de los casos, la red se ha visto comprometida durante dos y cuatro meses. Los 'hackers' aprovechaban este tiempo para obtener acceso a sistemas críticos y aprender a manejar sus instrumentos para sacar el dinero.
En vez de atacar servicios bancarios, los piratas siempre abusaron de ellos reproduciendo acciones de usuarios locales legítimos. Entre otras innovaciones, Carbanak contiene un elemento de espionaje que permite a los piratas controlar todo tipo de cámaras de los bancos. Las grabaciones de las actividades de los empleados bancarios, especialmente de los administradores del sistema, se enviaban a un servidor de control. Los vídeos se archivaban en un formato comprimido que ofrecía mala calidad de imagen, pero suficiente para comprender la actividad de las entidades bancarias.
A partir de los datos proporcionados por los vídeos y otras técnicas de vigilancia, los ladrones averiguaban los protocolos y el modo operacional diario de sus blancos. Con ellos, desarrollaban mecanismos de explotación que se adaptaban luego a cada víctima concreta con "gran versatilidad", según los expertos.
Sus blancos internos primarios eran los servicios de procesamiento de dinero, cajeros automáticos y cuentas financieras. En algunos casos, los atacantes utilizaron la red SWIFT para transferir dinero a sus propias cuentas. En otros, las bases de datos de Oracle fueron manipuladas para abrir cuentas de tarjetas de pago o de débito en el mismo banco o para transferir dinero entre cuentas utilizando el sistema bancario en línea.
Creaban transacciones falsas a partir de datos internos de los bancos después del proceso de verificación, evitando así que la actividad fraudulenta fuera descubierta. O usaban comandos internos de la víctima para insertar operaciones fraudulentas en la cola de transacciones. La red de cajeros automáticos también se utilizó para dispensar dinero en ciertos momentos cuando había personas listas para recogerlo.
Sin embargo, las sumas robadas nunca superaron los 10 millones de dólares por entidad, destacan los investigadores. En su opinión, el límite se debe a las limitaciones operacionales internas de los bancos.
Sin embargo, las sumas robadas nunca superaron los 10 millones de dólares por entidad, destacan los investigadores. En su opinión, el límite se debe a las limitaciones operacionales internas de los bancos.
Huella china
Según expertos de Kaspersky Lab, hay señales de que los 'exploits' ('software' que aprovecha las vulnerabilidades del sistema) usados en los anexos infecciosos podrían ser de origen chino. Además, fueron identificados unos servidores de control ubicados en China. La información de registro para algunos de los dominios utilizó datos de supuestos ciudadanos chinos. "Obviamente, todo esto podría ser solo una cortina de humo", indican los investigadores.
Los fondos robados fueron traspasados a cuentas bancarias de China y de EE.UU. Además algunos de los servidores de control tenían entradas de registro que indican conexiones a sistemas ubicados en EE.UU., Ucrania y Francia.
Los fondos robados fueron traspasados a cuentas bancarias de China y de EE.UU. Además algunos de los servidores de control tenían entradas de registro que indican conexiones a sistemas ubicados en EE.UU., Ucrania y Francia.
Entradas
