Una
firma de seguridad con sede en Moscú, Group-IB, descubrió un grupo
de hackers de habla rusa que han robado millones de dólares desde mayo de 2016
a través de atracos internacionales.
En
un informe de 36 páginas publicado en 2017, Group-IB, que ejecuta el laboratorio de
informática forense más grande de Europa
del este, proporcionó detalles del grupo de hacking recientemente divulgado “MoneyTaker”,
que lleva el nombre de un malware personalizado que utiliza.
Según
el Grupo-IB, el grupo de hacking ha llevado a cabo más de 20 ataques exitosos
contra instituciones financieras y firmas legales en los Estados Unidos, el
Reino Unido y Rusia en los últimos dos meses.
MoneyTaker
El
grupo MoneyTaker robó fondos centrándose en las redes de transferencia de
fondos eléctricos como SWIFT (Sociedad para la Telecomunicación Financiera
Interbancaria Mundial). El grupo MoneyTaker también se enfocó en firmas de
abogados y vendedores de software financiero. Group-IB ha confirmado que
20 empresas fueron hackeadas con éxito, de las cuales 16 ataques fueron a
organizaciones estadounidenses, tres a bancos rusos y una a una empresa de informática en el Reino Unido.
En
los Estados Unidos, El grupo atacó principalmente a los bancos comunitarios más
pequeños como víctimas y robó dinero infiltrándose en el procesador de la
tarjeta de crédito, incluido AWS CBR (Russian Interbank System) y SWIFT
international bank mensajería (US). Este acto suyo pasó desapercibido
durante un año y medio.
“MoneyTaker
utiliza herramientas disponibles públicamente, lo que hace que el proceso de
atribución e investigación sea un ejercicio no trivial”, dijo Dmitry Volkov,
cofundador del Grupo IB y jefe de inteligencia.
El
primer ataque ocurrió en la primavera de 2016 cuando robaron dinero de un banco
al violar su red “STAR”, un sistema de mensajería de transferencia bancaria que
conecta 5,000 cajeros automáticos en los Estados Unidos.
Los
miembros de MoneyTaker también se enfocaron en una red interbancaria conocida
como AWS CBR, que interactúa con el banco central de Rusia. Los hackers
también robaron documentos internos relacionados con el sistema bancario SWIFT,
aunque no hay evidencia de que hayan llevado a cabo ataques exitosamente.
“El esquema es extremadamente
simple. Después de tomar el control de la red del banco, los atacantes
comprobaron si podían conectarse al sistema de procesamiento de la tarjeta. Después de esto, legalmente abrieron o compraron
tarjetas del banco cuyo sistema informático habían hackeado. Las mulas de dinero – los delincuentes
que retiran dinero de los cajeros automáticos – con tarjetas activadas
anteriormente fueron al extranjero y esperaron a que comenzara la operación”,
dijo el Grupo-IB.
“Después
de ingresar al sistema de procesamiento de tarjetas, los atacantes eliminaron o
aumentaron los límites de retiro de efectivo para las tarjetas que tenían las mulas. Eliminaron los límites
de sobregiro, lo que permitió sobregirar incluso con tarjetas de
débito. Con estas tarjetas, las mulas retiraron efectivo de los cajeros
automáticos, uno por uno. La pérdida promedio causada por un ataque fue de
aproximadamente $ 500,000 USD”.
En
Rusia, $1,2 millones fueron robados por ataque. El año pasado, los
delincuentes en línea robaron las credenciales de la cuenta SWIFT para robar $81
millones de un
banco en Bangladesh. La cantidad de
información que MoneyTaker ha recolectado en las redes Star, SWIFT y AWS CBR ha
aumentado la posibilidad de que el grupo busque llevar a cabo más ataques
dirigidos a los sistemas de pago interbancarios, dijo el grupo.
“Group-IB
está investigando una serie de incidentes con documentos copiados que describen
cómo realizar transferencias a través de SWIFT. Sus contenidos y geografía
indican que los bancos en América Latina
podrían ser el próximo objetivo de MoneyTaker”,
dijeron funcionarios de la compañía en un comunicado.
“Los
especialistas de Group-IB esperan nuevos robos en el futuro cercano y para
reducir este riesgo, Group-IB desea contribuir con nuestro informe
identificando herramientas de hackers, técnicas y también indicadores de
compromiso que atribuimos a las operaciones de MoneyTaker”, agregaron.
“Mientras
más cavamos, más encontraremos”, dijo Volkov del Grupo IB. “Este informe
no representa la imagen completa, y puedo decir con una seguridad del 100% que
hay más víctimas que aún no se han identificado”.
¿Qué
opinas de este nuevo ataque a los sistemas financieros? – por favor comparte el
post en las redes sociales.
Fuente:
The Register.