Logró transferir del Banco Central de Bangladesh 81 mdd
Kaspersky Lab informó que logró detectar las herramientas maliciosas de Lazarus, un grupo de espionaje y sabotaje cibernético, responsable de ataques a instituciones financieras de al menos 18 países cuya práctica es utilizar un malware especial que nulifica las funciones de seguridad interna del software financiero para emitir transacciones fraudulentas a nombre del banco.
A partir del análisis forense de los artefactos dejados por el grupo en los bancos de Asia Sudoriental y Europa, Kaspersky Lab logró tener pleno conocimiento de las herramientas que el grupo utiliza y cómo opera cuando ataca a instituciones financieras, casinos, desarrolladores de software para empresas inversionistas y negocios de cripto divisas de todo el mundo.
Este conocimiento ayudó a impedir acciones fraudulentas a cuando menos otras dos instituciones financieras que el grupo tenía entre sus objetivos.
De acuerdo a la investigación realizada por Kaspersky Lab,luego de diversos ataques detectados en 2009, las muestras de malware relacionadas con la actividad de Lazarus reaparecieron desde diciembre de 2015 en instituciones diversas de Brasil, México, Chile, Costa Rica, Uruguay, Corea, Bangladesh, India y Vietnam entre otros países.
Los ataques más recientes fueron detectados en marzo de 2017, los cuales fueron interrumpidos por el software de seguridad de Kaspersky Lab, apoyado por la rápida respuesta a incidentes, el análisis forense y la ingeniería inversa de los investigadores principales de la compañía, que fue una acción exitosa pero que a la vez revela que el grupo sigue activo y no tiene intención de detenerse.
Kaspersky Lab señaló que Lazarus, empezó a cobrar presencia cuando en febrero de 2016 intentó robar 851 millones de dólares y logró transferir 81 millones de dólares del Banco Central de Bangladesh. Este es considerado como uno de los mayores y más exitosos atracos cibernéticos realizados hasta ahora.
Luego de varios meses de inactividad posterior al ataque de Bangladesh se tuvo conocimiento que Lazarus se estaba preparando para llevar a cabo una nueva operación y robar dinero a otros bancos entre ellos una institución financiera del sudeste asiático. Al ser obstaculizados por Kaspersky Lab y por una investigación posterior, se retrasaron algunos meses y entonces decidieron cambiar su operación hacia Europa donde también han sido detectados e interrumpidos por el software de seguridad de Kaspersky Lab.
La fórmula Lazarus
Brecha inicial: Violan un solo sistema dentro de un banco, ya sea con código vulnerable accesible de manera remota o mediante un ataque de watering hole, plantado en un sitio web benigno. Cuando se visita este sitio, la computadora de la víctima (empleado del banco) recibe el malware, lo que trae componentes adicionales.
Se establece un punto de apoyo: El grupo migra a otros sitios anfitriones de bancos e implementa puertas traseras persistentes, ya que el malware les permite ir y venir cuando quieran.
Reconocimiento interno: Pasa días y semanas aprendiendo detalles de la red e identificando recursos valiosos. Uno de estos recursos puede ser un servidor para hacer copias de seguridad, donde se almacena la información de autenticación; un servidor para el correo o el controlador de dominio completo con claves para cada «puerta» de la empresa; así como servidores que almacenan o procesan registros de transacciones financieras.
Entrega y robo: Finalmente, implementan un malware especial que puede evitar las funciones de seguridad interna del software financiero y emitir transacciones fraudulentas en nombre del banco.
C$T-EVP