En los últimos años se ha producido un auge de los ciberataques a bancos y otras entidades financieras. Los ciberdelincuentes están adoptando herramientas y tácticas de amenazas persistentes avanzadas, a la vez que hacen uso de malware personalizado junto con software legítimo y nuevos sistemas innovadores para retirar el dinero directamente de los cajeros automáticos.
En los últimos dos años, y sobre todo con fines económicos, los ciberdelincuentes se han centrado en adoptar sofisticadas tácticas y técnicas de tipo APT (advanced persistent threat o amenazas persistentes avanzadas) para conseguir que sus estrategias de ciberrobo a bancos fueran un éxito. En este sentido, en febrero de 2015 se anunció el descubrimiento de Carbanak, una banda cibercriminal que hacía uso de malware personalizado y de técnicas APT para robar millones de dólares a la vez que infectaban cientos de entidades financieras en al menos treinta países.
Desde entonces hemos visto un aumento de estos ataques encubiertos, con tácticas que combinan el uso de reconocimiento, la ingeniería social, el malware especializado, herramientas de movimientos laterales y la persistencia a largo plazo para robar el dinero de instituciones financieras (en particular, de los cajeros automáticos y de los sistemas de transferencia de dinero). Y así lo confirman las investigaciones de Kaspersky Lab.
Algunos ejemplos
A principios del presente año, nuestra compañía anunció el retorno de Carbanak como Carbanak 2.0, además de confirmar la aparición de dos grupos más que trabajan en la misma línea: Metel y GCMAN.
Por ejemplo, el grupo cibercriminal Metel cuenta con un esquema muy inteligente: obtiene el control de equipos que tienen acceso a las transacciones financieras dentro de un banco, como ordenadores del centro de atención
telefónica/soporte, para así poder automatizar la reversión de transacciones en cajeros automáticos. De este modo, se garantizan que el saldo de las tarjetas sigue siendo el mismo, independientemente del número de transacciones realizadas en cajeros automáticos. En los ejemplos observados hasta la fecha, el grupo cibercriminal vaciaba cajeros automáticos de determinados bancos utilizando las tarjetas de débito emitidas por la propia entidad comprometida. En solo una noche eran capaces de retirar todo el dinero.
Durante la investigación, Kaspersky Lab descubrió que Metel consiguió la infección inicial a través de correos electrónicos phishing con adjuntos maliciosos y a través del paquete exploit Niteris, que aprovechaba las vulnerabilidades en el navegador de la víctima. Una vez dentro de la red, utilizaban herramientas legítimas y pentesting (test de penetración) para moverse lateralmente, secuestrando el controlador de dominio local y, finalmente, localizando y obteniendo el control de los ordenadores utilizados por los trabajadores del banco encargados de las tarjetas de pago.
Un segundo grupo cibercriminal, conocido como GCMAN, era todavía más sigiloso e iba un paso más allá: atacaban con éxito una organización sin utilizar ningún tipo de malware y haciendo uso únicamente de herramientas legítimas y de pentesting. En uno de los ataques, los cibercriminales permanecieron en la red un año y medio antes de activar el robo. El dinero se transfería en cantidades de alrededor de 200 dólares. Cada minuto se disparaba un script malicioso y otra suma se transfería a una cuenta perteneciente a una “cibermula”, alguien que participa en una red de phishing, incluso sin ser consciente de su colaboración. Las órdenes de transacción se enviaban directamente a la pasarela de pago, sin que quedara constancia en los sistemas internos del banco.
Por último, Carbanak 2.0 marca el resurgimiento de la APT Carbanak, con las mismas herramientas y técnicas, pero con un perfil de víctima diferente y formas innovadoras de retirar el dinero. Según las investigaciones llevadas a cabo en 2015, los objetivos de Carbanak 2.0 no solo eran bancos, también los departamentos financieros y de contabilidad de cualquier organización. Kaspersky Lab descubrió cómo este grupo cibercriminal accedía a una institución financiera y modificaba las credenciales de la propiedad de una gran empresa. La información fue modificada para nombrar una “cibermula” como accionista de la empresa.
Los objetivos son también las áreas financiera y de contabilidad de las empresas
Graves consecuencias
Estos ataques ponen de relieve el hecho de que ninguna empresa, ya sean entidades financieras o compañías de otros sectores, está a salvo de las ciberamenazas. Las organizaciones deben estar al tanto de los posibles riesgos y peligros de las amenazas inteligentes. Para ello, se hace necesario revisar periódicamente los procedimientos de seguridad de la organización, haciendo uso de tecnologías que monitoricen las redes y los endpoints, a la vez que coordinan los datos que se intercambian entre ellos para detectar posibles anomalías. Y es que una infraestructura TI comprometida puede derivar en una gran pérdida de datos, en daños financieros o, incluso, de reputación.
En este sentido, en un reciente informe, Kaspersky Lab mostró que una compañía afectada por un incidente de seguridad en el que se produjo una fuga de datos sufrió daños en su reputación cada segundo. El coste medio del daño a la marca, en el ámbito global, causado por un solo problema de este tipo, fue de aproximadamente 7 500 euros en las pymes y 185 000 euros en grandes compañías.
Por ello, no es de extrañar que la ciberseguridad represente un papel clave para las empresas a la hora de elegir un banco. De hecho, y según un estudio conducido por Kaspersky Lab, el 66% de las empresas prefieren entidades financieras que cuenten con un proveedor solido de seguridad TI. En este sentido, casi tres cuartas partes (73%) de las compañías españolas encuestadas seleccionan los bancos por su reputación en cuanto a seguridad y casi nueve de cada diez (87%) están dispuestas a pagar más por trabajar con un banco que cuente con una fuerte política de seguridad y un buen historial de seguridad.
Las pérdidas son tanto económicas como las relacionadas con la reputación
Evitar los ciberataques
Para garantizar el mejor servicio posible a los clientes corporativos, y que las transacciones sean seguras, es necesario un enfoque integral de seguridad. Las entidades financieras necesitan invertir recursos en predecir y detectar los ataques. Pero, además, deben saber responder eficazmente ante ellos. Es necesario que la seguridad sea un proceso constante y que los bancos piensen más como empresas TI y hagan de la seguridad una prioridad.
Por ello, y más concretamente, se recomienda a todas las organizaciones que exploren cuidadosamente todas sus redes para detectar posibles presencias de malware. En caso de que fuera detectada alguna ciberamenaza, las compañías deben tratar de desinfectar el sistema, ordenadores o servidores, y, a la vez, denunciar esta intrusión a las fuerzas de seguridad.
También es muy importante que las entidades financieras formen a sus empleados en materia de ciberseguridad, a la vez que se les enseña a trabajar con el departamento TI para fomentar una mayor comprensión. En el caso de que se produzca una brecha de seguridad, es importante animar a los trabajadores a compartir entre ellos los incidentes que han sufrido para, así, conocer las recomendaciones, aprender y detectar posibles riesgos futuros.
