Investigadores de Trustwave han descubierto una serie de robos que han costado a varios bancos de Europa del Este y Rusia arriba de $10 millones de dólares a cada uno y consideran que las instituciones financieras en Europa, América del Norte, Asía y Australia pueden ser blanco el siguiente año.

El modus operandi

Los atacantes primero reclutan contrabandistas, los equipan con documentación falsificada y los envían a abrir una docena de cuentas bancarias para visitar físicamente varias sucursales de los bancos objetivo en diferentes ciudades en el país. Una vez que las cuentas están abiertas, los contrabandistas reciben tarjetas de débito/ATM legítimas vinculadas a esas cuentas y las entregan a miembros de la red de cibercriminales, quienes las mandan fuera del país.

Mientras tanto, los ciberatacantes ganan acceso a las redes de los bancos (vía phishing e ingeniería social), comprometiendo múltiples sistemas dentro de ellas, estableciendo puertas traseras y accesos de escritorio remoto a ellos, para proceder a capturar las credenciales de los empleados que cuentan con permiso de conexión a la red de procesamiento de pagos de los bancos.

“Después de ganar un punto de apoyo en la red de procesamiento, los atacantes comprometen las cuentas administrativas de la empresa, las cuales eventualmente les proporcionan acceso completo dentro de la infraestructura. Su siguiente paso es ejecutar reconocimiento del servicio de procesamiento de tarjetas. Después, los atacantes ejecutan varios payloads maliciosos en la red de procesamiento, es clave entre ellos una herramienta de monitoreo légitima instalada en el servidor terminal de procesamiento (que permite a los usuarios acceder a la aplicación de administración de tarjetas vía web)”, explicaron los investigadores de Trustwave.

“Este software llamado ‘Mipko’ (anunciado como ‘Monitor de Empleados’) recolecta toda la información, incluyendo capturas de pantalla, teclas presionadas y otros tipos de información para todos los usuarios que tienen una sesión iniciada en el sistema y/o ingresaron a la aplicación de administración de tarjetas empleando sus respectivas credenciales”.

Después de eso, tienen todo lo que necesitan para finalmente realizar el robo.

Mientras los contrabandistas están listos para usar las tarjetas de débito en los cajeros ATM de los bancos, los ciber atacantes usan las credenciales robadas a los empleados del banco para:

• Cambiar las clasificaciones de riesgo en las cuentas deshonestas de alto a bajo.
• Activar el permiso de “sobregiro” de crédito en esas cuentas.
• Manipular o remover cualquier control anti fraude para esas cuentas.
• Cambiar el límite de sobregiro de esas cuentas del valor por defecto de $0 a rangos entre $25 mil y $35 mil dólares.

“Las contrapartes físicas, ubicadas en varios puntos de Europa y la Federación Rusa retiraron luego cantidades sustanciales de dinero de cada una de esas tarjetas en terminales ATM. Retiros de efectivo en toda la región comenzaron a minutos de la primera modificación de sobregiro realizado en las tarjetas de débito en la aplicación de administración de tarjetas”, encontró la investigación.

Los contrabandistas usaron cajeros ATM en ubicaciones solitarias, sin cámaras o con cámaras de seguridad rotas, sin guardia de seguridad y con la capacidad de proporcionar cantidades sustanciales de dinero. Los cajeros ATM estaban siempre ubicados fuera del país actual del banco víctima.

De acuerdo con los investigadores, este paso final del robo toma horas en completarse. La operación completa, desde abrir las cuentas bancarias hasta retirar el dinero de los cajeros ATM, requirió 6 meses.

Ciber crimen organizado

No hay duda de que estos robos fueron realizados por un grupo de ciber delincuencia organizado y bien informado.

“En las distintas fases del ciber ataque, notamos que los atacantes adoptaron tácticas de emergencia a veces llamadas ‘vivir de la tierra’ lo cual involucra actualmente uso muy limitado de malware en forma de archivos maliciosos y protocolos fácilmente detectados asociados con tráfico exfiltrado de mando y control”, compartieron los investigadores.

“En su lugar, los atacantes emplearon comandos legítimos de Windows y Power Shell en combinación con herramientas como PSExec para un movimiento lateral. También usaron notablemente plink.exe (cliente de SSH para Windows) para acceder al escritorio remoto sobre un túnel SSH establecido. Otros componentes de software empleados en esta operación fueron parte de una aplicación comercial de monitoreo (Mipko Monitor de Empleados) y el sospechoso bien conocido ‘Cobalt Strike Beacon’ principalmente usado para mantener una conexión de puerta trasera con un punto final geolocalizado en los EE.UU.”

Los atacantes también pasaron gran trabajo para limpiar sus ataques después del robo. Generalmente emplearon un sistema específico dentro de la red de los bancos para ejecutar sus actividades, y al finalizar ejecutaron un limpiador (dropper.exe) que limpió el registro de arranque principal (MBR) del disco duro y reinició el sistema. Con el MBR corrupto, el sistema no podía iniciar.

Los investigadores trataron de recuperar el MBR y el auto borrador dropper.exe.

“Este archivo aún no se conoce públicamente en Virus Total o en otros servicios similares, lo que es otro fuerte indicador de las operaciones dirigidas y los actores del crimen organizado. Emplearon esta herramienta para demostrar que los atacantes están fuertemente motivados para borrar sus ataques limpiamente al generar obstáculos adicionales para los procedimientos de investigación”, concluyeron y proporcionaron hashes para encontrarlos.