• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Carbanak: el malware que robó 1.000 millones de dólares a 100 bancos diferentes.

    Carbanak: historia del malware que robó 1.000 millones de dólares a 100 bancos diferentes. Una banda multinacional de ciberdelincuentes se infiltró en más de 100 bancos a través de 30 países y huyeron con hasta ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Mensaje Carbanak: el malware que robó 1.000 millones de dólares a 100 bancos diferentes.

      Carbanak: historia del malware que robó 1.000 millones de dólares a 100 bancos diferentes.



      Una banda multinacional de ciberdelincuentes se infiltró en más de 100 bancos a través de 30 países y huyeron con hasta 1 billón de dólares en un período de aproximadamente dos años, según dijo el sábado Kaspersky Lab.


      Kaspersky Lab, INTERPOL, Europol y las autoridades de diferentes países unieron fuerzas para descubrir la trama, que se denomina un "robo cibernético sin precedentes". A través de sus investigaciones hasta esta fecha, la empresa de seguridad dijo que tiene pruebas que aproximadamente $ 300 millones han sido robados por los ciberdelincuentes, pero se cree que el total podría ser de más de $ 1 billón.

      - Cuando llegó el momento de sacar provecho de sus actividades, los delincuentes utilizan los sistemas de pago internacionales de la banca en línea para transferir dinero de las cuentas de los bancos a los suyos. En el segundo caso el dinero robado fue depositado en bancos en China o Estados Unidos. Los expertos no descartan la posibilidad de que otros bancos de otros países fueran utilizados como receptores.

      - En otros casos, los criminales cibernéticos penetraron a directo en el corazón de los sistemas de contabilidad, inflando los saldos en cuenta antes de embolsarse los fondos adicionales a través de una transacción fraudulenta. Por ejemplo: si una cuenta tiene $ 1,000, los criminales cambiaban su valor a $ 10.000 y luego transferían los US $ 9.000 a sí mismos. El titular de la cuenta no sospecha del problema porque su cuenta original de $ 1000 está todavía allí.

      - Además, los ladrones cibernéticos tomaron el control de los cajeros automáticos de los bancos y les ordenaron dispensar dinero en efectivo en un tiempo predeterminado. Cuando el pago se hacia, uno de los secuaces de la pandilla estaba esperando junto a la máquina para recoger el pago "voluntario".

      "Una vez que los atacantes comprometían con éxito la red de la víctima, hacían lo mismo con los destinos primarios internos de los servicios de procesamiento de dinero, los cajeros automáticos (ATM) y las cuentas financieras", explicó el informe. "En algunos casos, los atacantes utilizaron a la red de la Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) para transferir dinero a sus cuentas. En otros, las bases de datos de Oracle fueron manipuladas para abrir el pago o la tarjeta de débito de las cuentas en el mismo banco o para transferir dinero entre cuentas utilizando el sistema de banca en línea. La red de cajeros automáticos también se utilizó para dispensar dinero en efectivo en los cajeros automáticos determinados en ciertos momentos donde las mulas (cómplices) estaban dispuestos a recoger el dinero ".

      "Estos atracos a bancos fueron sorprendentes, ya que no modificaban los criminales lo que el software de los bancos estaban usando. Así que, incluso si su software es único, un banco no puede bajar la guardia. Los atacantes ni siquiera tenían que cortar los servicios de los bancos: una vez que entraron en la red, sabían cómo ocultar sus movimientos maliciosos detrás de las acciones legítimas. Fue un ciber-robo muy pulido y profesional ", dijo Sergey Golovanov, Investigador Principal de Seguridad Investigación y Analista Global de Kaspersky Lab.


      Carbanak consiguió acceder a la red interna y de vigilancia de los bancos a través de empleados de los mismos a los que había atacado bajo técnicas “spear phishing”. El grupo inflaba las cuentas para realizar transacciones fraudulentas y programaba los cajeros remotamente para que “escupieran” metálico a una hora programada que era recogido por algunos de sus miembros.

      Según el informe, los mensajes de phishing contenían archivos adjuntos letales de Microsoft Word 97-2003 (.doc) y archivos de extensiones de la aplicación para el Panel de Control (.CPL). Los archivos maliciosos vulneraban Microsoft Office (CVE-2.012-0.158 y CVE-2.013-3906) y Microsoft Word (CVE-2014-1761) para ejecutar el código shell, que descifra y ejecuta el backdoor Carbanak.

      The New York Times dice que robo alcanza a 100 instituciones financieras de 30 países, especialmente Rusia, Japón, Estados Unidos y otros países europeos.


      Kaspersky Lab dijo que en base a su análisis, los atacantes de Carbanak están tratando de expandir sus operaciones a otros países bálticos y de Europa Central, Oriente Medio, Asia y África. La compañía aconseja a las instituciones financieras realizar un análisis exhaustivo a sus redes por la presencia de Carbanak inmediatamente.

      Fuente: SecureList
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Carbanak: el malware que robó 1.000 millones de dólares a 100 bancos diferentes.


      Esta imagen refleja los tiempos en que vivimos ya que para robar un banco no se necesita una pistola, sino un malware bien elaborado como el caso de Carbanak.



      Más información sobre Carbanak publicada por Kaspersky Lab en sus preguntas frecuentes:

      ¿Qué es Carnabak?


      Carbanak es el nombre que usamos para referirnos a una campaña de ataques APT lanzados contra instituciones financieras, pero sin limitarse a ellas. La principal diferencia con otros ataques APT es que los atacantes no buscan datos, sino dinero. Decimos que son ataques tipo APT, aunque los ataques no son, estrictamente hablando, avanzados. Propiamente dicho, la principal característica que define a los atacantes es la persistencia.Bautizamos esta puerta trasera con el nombre Carbanak porque se basa en Carberp y el nombre del fichero de configuración es “anak.cfg”.


      ¿Cuáles son los propósitos maliciosos de esta campaña?

      Los atacantes penetran la red de la víctima en busca de sistemas críticos que puedan usar para extraer dinero. Una vez que roban una cantidad importante de dinero (entre 2,5 y 10 MM USD por entidad), abandonan a su víctima.


      ¿Por qué es significativo?

      Las entidades bancarias siempre han sido un blanco predilecto de los ciberpiratas. Sin embargo, las víctimas eran los clientes. Esta vez, los atacantes están atacando directamente a las organizaciones mediante ataques sin precedentes, determinados y altamente profesionales y coordinados, y usan cualquier medio a su disposición para robar tanto dinero como sea posible, hasta alcanzar un límite aparentemente fijado por ellos mismos.


      ¿Se puede explicar la cronología de la campaña?

      De acuerdo a lo que sabemos, las primeras muestras maliciosas se compilaron en agosto de 2013, cuando los ciberpiratas comenzaron a probar el programa malicioso Carbanak. Las primeras infecciones se detectaron en diciembre de 2013.En promedio, cada robo tardó en realizarse entre dos y cuatro meses, desde la infección del primer equipo en la red corporativa del banco, hasta la extracción misma del dinero.Creemos que la banda tuvo éxito en el robo a sus primeras víctimas entre febrero y abril de 2014. El pico de las infecciones se registró en junio de 2014.Hoy en día, está campaña continúa activa.


      ¿Por qué se publican los detalles solo ahora?

      Desde que comenzamos a trabajar en esta campaña hemos colaborado con las autoridades que la estaban investigando y las ayudamos en todo lo posible. Como la investigación permanece abierta, nos pidieron que no compartiéramos información hasta que fuese seguro hacerlo.


      ¿Se han puesto en contacto con las víctimas y los Equipos de respuesta de emergencia informática (CERTs) en los países donde se detectaron los incidentes?

      Sí. Esta investigación derivó en una operación conjunta entre el Equipo de análisis e investigación mundial de Kaspersky Lab (GReaT), organizaciones internacionales, autoridades nacionales y regionales, y equipos de respuesta de emergencia informática en todo el mundo.Uno de nuestros principales objetivos era divulgar lo que sabíamos sobre la campaña e IOCs entre todas las víctimas detectadas y potenciales. Las autoridades y los Equipos de respuesta de emergencia informática fueron los canales de publicación.


      ¿Cómo han contribuido a la investigación?

      Estamos ayudando en las investigaciones y en las contramedidas para neutralizar los programas maliciosos y las actividades cibercriminales. Durante las investigaciones brindamos nuestros conocimientos y experiencia técnicos, como el análisis de los vectores de infección, programas maliciosos, infraestructura y soporte de los servidores de comando y control, y métodos de explotación.


      ¿Cómo propagaban este programa malicioso?

      Los atacantes usaron mensajes de correo tipo spear-phishing con adjuntos maliciosos que enviaban a los empleados de las instituciones blanco, y en algunos casos los enviaban a sus direcciones de correo electrónico personales. Creemos que los atacantes también usaron ataques de descargas al paso, pero esto aún no lo hemos confirmado por completo.¿Cuál es el impacto potencial para las víctimas?

      En base a lo que los ciberdelincuentes robaron a sus víctimas, una nueva víctima puede sufrir pérdidas de hasta 10 millones de dólares. Sin embargo, esta cifra es arbitraria y se basa en lo que sabemos: una vez que la institución se infecta, las pérdidas potenciales no tienen límite.


      ¿Quiénes son las víctimas? ¿Cuál es la escala del ataque?

      Las víctimas son principalmente instituciones financieras. Sin embargo, también hemos detectado infecciones en terminales de puntos de venta y en agencias de relaciones públicas. Para tener una mejor idea de la escala del ataque, puedes consultar los cuadros y mapas que acompañan a nuestro informe.Como sucede con muchas campañas de programas maliciosos, existe una variedad de compañías/individuos que analizan los programas maliciosos, lo que resulta en peticiones al servidor de comando y control. Cuando analizamos estos servidores, todo lo que vemos son las IPs y posiblemente algunos datos adicionales. Cuando no existen estos datos adicionales, y cuando no es posible rastrear las IPs hasta sus dueños, entonces la definimos como una infección.En base a este enfoque, nuestro análisis concluye que Rusia, EE.UU., Alemania y China son los países más afectados.


      ¿Cómo están protegidos los usuarios corporativos contra este tipo de ataque? ¿Kaspersky Lab protege a sus usuarios?


      Sí. Hemos detectado muestras de Carbanak, como Backdoor.Win32.Carbanak y Backdoor.Win32.CarbanakCmd.Todos los productos y soluciones corporativos de Kaspersky Lab detectan muestras conocidas de Carbanak. Para incrementar el nivel de protección, recomendamos activar el módulo de Defensa proactiva de Kaspersky que se encuentra en cada producto y solución modernos.También ofrecemos algunas recomendaciones generales:
      • No abrir mensajes de correo sospechosos, especialmente si llevan un adjunto.
      • Actualizar el software (en esta campaña se usaron día-cero).
      • Activar el módulo heurístico en los paquetes de seguridad, para aumentar las posibilidades de detectar y neutralizar las nuevas muestras apenas aparecen.

      Vía: Securelist


      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Aguilucho (AC)
      Registrado
      mar 2007
      Ubicación
      Dominicana
      Mensajes
      333

      Re: Carbanak: el malware que robó 1.000 millones de dólares a 100 bancos diferentes.

      Nadie se salva del cybercriminales, Y por cierto creen ustedes que logren agarrarlos, por que se estafaron una buena suma de dinero.