Los ciberataques de delincuentes a instituciones financieras están a la orden del día, dado que es de estas grandes corporaciones de donde pueden obtener datos más sensibles para robar grandes cantidades de dinero. En este sentido, las firmas de seguridad cobran una importancia crítica no sólo como garantes de la seguridad del dinero, sino también como forenses 2.0 que puedan estudiar cómo ocurrieron los hechos para aportar soluciones en el futuro.
Exactamente esto es lo que hicieron, a mediados de 2018, los investigadores de Bitdefender, cuando estudiaron detenidamente los hechos que habían llevado a un grupo de ciberdelincuentes, denominado Carbanak, a atacar a una institución financiera de Europa del Este para preparar el robo de millones de euros. Ésta es la historia de cómo se roban los bancos (o se intentan robar) en pleno 2019.
Cuidado con el ‘phishing’
El phishing selectivo es una de las principales armas de los hackers para lograr obtener información confidencial como claves de acceso o direcciones de correo que puedan estar comprometidas en su seguridad. Por eso, este tipo de tácticas fue el principal vector de ataque de la organización cibercriminal Carbanak. Para lograr sus propósitos, utilizaron correos electrónicos de "phishing selectivo con URL maliciosas y documentos contaminados para descargar un componente baliza conocido como Cobalt Strike", tal y como explican en el informe. Dichas campañas suplantaron correos electrónicos de grandes organizaciones, como IBM o el Banco Central Europeo, así como de empresas de seguridad informática.
Traducido para todos los públicos, estos hackers enviaban correos electrónicos con enlaces y documentos adjuntos que, al ser descargados, infectaban el ordenador con una herramienta de control que les permitía acceder libremente a los contenidos del mismo. Una vez allí, el siguiente paso era moverse por la infraestructura de archivos para identificar documentos vitales, claves y accesos bancarios, y así prepararlos para su extracción.
Una banda experimentada
Como suele ocurrir en la mayoría de los ataques cibernéticos a este tipo de instituciones, los delincuentes formaban parte de una banda organizada, que no tardaron más de unas horas desde que consiguieron acceder al sistema hasta que lograron moverse por él. Esto demuestra que los hackers de este tipo cada vez están más preparados y organizados.
La finalidad de su ataque sí que tenía un objetivo mucho más conocido: sacar dinero de manera ilegal de cajeros automáticos. Así, mientras una parte de los delincuentes organizaba el ataque y dejaba sin seguridad a los cajeros, otro equipo coordinado retiraba el dinero.
Un final feliz
Este grupo cibercriminal, que cuenta con un largo historial de compromisos de infraestructuras pertenecientes a instituciones financieras, continúa activo. Sin emargo, este último ataque no tuvo éxito, ya que de haberlo hecho habría proporcionado a los piratas informáticos el control de la red de cajeros automáticos.
Afortunadamente, los sistemas de seguridad de la institución financiera fueron capaces de detectar la amenaza, que terminó siendo erradicada antes de que llegara a más. Una historia con final feliz, pero que da muestras de la capacidad que tienen ahora los ladrones de bancos 2.0 para llegar hasta información crítica de manera rápida.