Un grupo de atacantes rusos han establecido como objetivos organizaciones financieras (bancos, uniones de crédito y prestamistas) de Estados Unidos y Rusia, robando dinero e información que podría ser utilizada para próximos ataques.

Los objetivos

Las operaciones del grupo han sido detalladas en un reporte realizado por especialistas rusos en ciber ataques llamados Group-IB, quienes investigaron cerca de 20 ataques, los cuales apuntaban hacia MoneyTaker (como ellos se autonombraban).

Los atacantes MoneyTaker parecen tener preferencia por las pequeñas comunidades bancarias, probablemente porque tienen pocas defensas en el ámbito de ciberseguridad y son más sencillas de vulnerar.

Entre una de las primeras víctimas documentadas, fue un banco de los EE. UU., donde se encontró que la información robada permitía acceder al sistema de procesamiento de tarjetas First Data´s STAR.

Eso sucedió en Mayo del 2016. Desde entonces, los criminales continuaron a través de EU, pero también en Rusia y el Reino Unido, donde atacaron a proveedores de servicios y software sin nombre.

Cuando se realizó el ataque a las instituciones de Rusia, se tenía como objetivo principal a AWS CBR (Automated Work Station Client of the Russian Central Bank), una institución interbancaria rusa que contaba con un sistema similar a SWIFT.

“El promedio del daño por cada ataque exitoso (contra instituciones de EE. UU.) fue de 500,000 dólares,” informaron los investigadores. Los objetivos en Rusia perdieron en promedio 1.2 millones de dólares por incidente, el cual se gestionó con la recuperación de una parte del dinero.

El grupo robó el dinero de la mayor cantidad de los bancos comprometiendo sus sistemas de tarjetas y usándolos para borrar o incrementar los créditos de las mismas. Las tarjetas podrían manejar aún más dinero que los cajeros automáticos. Esta forma de vulnerar los sistemas fue utilizada por otros atacantes.

Posibles objetivos futuros

Los investigadores descubrieron que los criminales obtuvieron documentación del sistema de transferencia de OceanSystem´s FedLink, el cual es utilizado por 200 bancos en Latinoamérica y EE UU. Ellos piensan que estos bancos serán las próximas víctimas.

Por alguna razón, creen que los atacantes han estado buscando formas para comprometer el sistema interbancario SWIFT. (Los investigadores aún no han encontrado evidencia de que este grupo se encuentre detrás de alguno de los ataques recientes a estos sistemas).

Herramientas utilizadas por MoneyTaker

Este grupo usa un gran número de herramientas, algunas creadas por ellos mismos y algunas obtenidas de diferentes fuentes.

Dentro de este último grupo se encuentra Metasploit y PowerShell Empire (herramientas utilizadas para pruebas de penetración), troyanos bancarios (Citadel, Kronos) y NirCmd, una pequeña utilería de línea de comando que permite la ejecución de comandos de manera remota.

Para acciones más específicas, por ejemplo, el remplazo de la información de pagos en AWS CBR, también tienen herramientas que permiten obtener el inicio de sesión mediante capturas de pantalla, estas últimas fueron diseñadas por ellos mismos.

“Los miembros de este grupo tienen las habilidades necesarias para ajustar las herramientas a sus necesidades. En algunos casos, ellos han modificado el código fuente durante un ataque,” destacaron los investigadores.

Técnicas de ataque

Este grupo ha tomado las siguientes acciones necesarias para no ser detectados, entre ellas podemos listar las siguientes:

• Modificación de archivos para evitar ser detectados como malware y mantener la persistencia en el equipo mediante PowerShell y scripts VBS.
• Uso de certificados SSL con nombres de organizaciones conocidas (Microsoft, Yahoo, el Banco de América, etc.) para proteger la detección de las comunicaciones C&C por parte de los equipos de seguridad.
• Configuración de servidores utilizados para la distribución de código malicioso, con la finalidad de que solamente llegue a una lista de direcciones IP que pertenezcan a la compañía que se tiene como objetivo. Esos servidores obligan a los equipos a ejecutar los archivos maliciosos y reiniciarlos en caso de que el ataque sea exitoso.
• Después un número de ataques exitosos, los atacantes tienen una nueva infraestructura que les proporciona persistencia en los equipos.
• Uso de programas para eliminar todos los componentes de los scripts utilizados durante el ataque, con la finalidad de borrar las posibles huellas (estos programas podrían tener errores, debido a que algunos investigadores han podido obtener evidencia de las intrusiones).

En la mayoría de los casos aún se desconoce cómo este grupo se ha introducido en las redes corporativas. Pero en un caso más específico, el punto de entrada es la computadora localizada en el hogar del administrador del sistema bancario.