Carbanak, la trama cibercriminal sin precedentes
Kaspersky Lab, INTERPOL, Europol y autoridades de distintos países han coordinado sus esfuerzos para descubrir la trama cibercriminal que existía detrás de un robo sin precedentes. Se han robado unos mil millones de dólares estadounidenses en unos dos años procedentes de instituciones financieras de todo el mundo. Los expertos señalan que la responsabilidad del robo recae en una banda multinacional de ciberdelincuentes de Rusia, Ucrania y otros países de Europa, así como de China.
La banda criminal Carbanak ha utilizado las técnicas de los ataques dirigidos. La trama marca el inicio de una nueva etapa en la evolución de la actividad cibercriminal, donde los usuarios maliciosos roban dinero directamente de los bancos y evitando llegar a los usuarios finales.
Desde 2013, estos cibercriminales han intentado atacar hasta 100 bancos, sistemas de pago y otras instituciones financieras en unos 30 países. Los ataques se mantienen activos. Según los datos de Kaspersky Lab, los objetivos Carbanak incluyen organismos financieros en Rusia, EE.UU., Alemania, China, Ucrania, Canadá, Hong Kong, Taiwán, Rumania, Francia, España, Noruega, India, Reino Unido, Polonia, Pakistán, Nepal, Marruecos , Islandia, Irlanda, República Checa, Suiza, Brasil, Bulgaria y Australia.
Se estima que las mayores sumas de dinero se obtuvieron hackeando bancos, consiguiendo robar hasta diez millones de dólares en cada incursión. De media, cada robo de un banco llevó entre dos y cuatro meses, desde que se infecta el primer equipo de la red corporativa del banco hasta hacerse con el dinero.
Los ciberdelincuentes comenzaban accediendo al ordenador de un empleado a través de “spear phishing”, una estafa focalizada por correo electrónico cuyo único propósito es obtener acceso no autorizado a datos confidenciales, infectando a la víctima con el malware Carbanak. Fueron capaces de saltar a la red interna y localizar los ordenadores de los administradores para disponer de videovigilancia. Esto les permitió ver y grabar todo lo que pasaba en las pantallas del personal que atendía los sistemas de transferencia de dinero en efectivo.
De esta manera los cibercriminales llegaron a conocer hasta el último detalle del trabajo de los empleados de banca 'y fueron capaces de imitar la actividad del personal a fin de transferir dinero en efectivo.
¿Cómo robaron el dinero?
1) Cuando llegó el momento de sacar provecho de sus actividades, los ciberestafadores utilizaron sistemas de pago internacionales de banca online para transferir dinero de las cuentas de los bancos a los suyos. En algunos casos, también se depositaba el dinero robado en bancos en China o América. Los expertos no descartan la posibilidad de que otros bancos de otros países fueran utilizados como receptores.
2) Los cibercriminales penetraron directamente en el corazón de los sistemas de contabilidad, inflando los saldos en cuentas antes de embolsarse los fondos adicionales a través de una transacción fraudulenta. Por ejemplo: si una cuenta tenía 1.000 dólares, los ciberdelincuentes cambiaban su valor por 10 mil dólares y luego se transferían 9.000. El titular de la cuenta no sospechaba del problema porque los 1.000 dólares originales todavía estaban allí.
3) Además, se hicieron con el control de los cajeros automáticos de los bancos y les ordenaron dispensar dinero en efectivo en un tiempo predeterminado. Cuando el pago se realizaba, uno de la banda estaba esperando junto al cajero para recoger el pago.
"Estos atracos a bancos son sorprendentes, ya que demuestra que para los cibercriminales es indistinto el software que los bancos estén usando. Así que, incluso si su software es único, un banco no puede bajar la guardia. Los atacantes ni siquiera tuvieron que interrumpir los servicios de los bancos: una vez que dentro de la red, descubrieron cómo ocultar su trama maliciosa tras acciones legítimas. Es un ciberrobo muy pulido y profesional", dijo Sergey Golovanov, analista Principal de Seguridad de Kaspersky Lab.
"Estos ataques vuelven a poner de manifiesto el hecho de que los criminales explotan cualquier vulnerabilidad en cualquier sistema. También destaca el hecho de que ningún sector puede considerarse inmune a los ataques y deben abordar constantemente sus procedimientos de seguridad. La identificación de las nuevas tendencias de ciberdelincuencia es una de las áreas clave donde INTERPOL trabaja con Kaspersky Lab con el fin de ayudar tanto al sector público como privado a protegerse mejor de estas amenazas en constante evolución", afirma Sanjay Virmani, director del Centro de Crimen Digital de INTERPOL.
Kaspersky Lab invita a todas las entidades financieras a analizar cuidadosamente sus redes frente a la presencia de Carbanak y, si se detecta, reportar la intrusión a la policía.