Se recomienda a las organizaciones financieras analizar sus redes en busca de la presencia de Carbanak, Metel y GCMAN y, en caso de detectar algo, desinfectar sus sistemas y reportar la intrusión a las instancias policiales.
Kaspersky confirmó el regreso de Carbanak como Carbanak 2.0 y descubrió dos grupos más que trabajan bajo el mismo estilo: Metel y GCMANm que atacan a organizaciones financieras a través del uso de reconocimiento tipo APT encubierto y malware personalizado junto con software legítimo y nuevos esquemas para retirar dinero.
La empresa expresó que los ciberdelincuentes empezaron a adoptar las herramientas y tácticas de Ataques Persistentes Dirigidos (APTs) respaldadas por estados nación para robarle a bancos.
La banda de cibercriminales Metel tiene muchos trucos, pero es particularmente interesante debido a un esquema muy inteligente. Al obtener control de las máquinas dentro de un banco que tienen acceso a transacciones de dinero la banda puede automatizar la restauración de las transacciones en cajeros automáticos (ATM’s).
Kaspersky reveló que la capacidad de restauración indica que el saldo en las tarjetas de débito es igual sin importar el número de transacciones realizadas en los cajeros automáticos. La banda de delincuentes roba dinero circulando en auto por diferentes ciudades rusas durante la noche para vaciar las máquinas ATM de diferentes bancos, de manera repetida y usando las mismas tarjetas de débito emitidas por los bancos comprometidos. En sólo una noche logran retirar el dinero.
Sergey Golovanov, investigador Principal de Seguridad del Equipo de Análisis e Investigación Global de Kaspersky Lab, precisó que la fase activa de un ataque cibernético se hace más corta, de manera que cuando los atacantes se hacen expertos en una operación en particular, sólo les toma unos días o una semana tomar lo que quieren y corren.
Kaspersky Lab precisó que los operadores de Metel logran su infección inicial a través de correos electrónicos de spear-phishing especialmente diseñados con archivos adjuntos maliciosos, y a través del paquete de exploit Niteris, orientado a las vulnerabilidades en el navegador de la víctima. Una vez dentro de la red, los ciberdelincuentes usan herramientas legítimas y de prueba de penetración para moverse lateralmente, secuestrando el controlador de dominio local y, localizando y obteniendo el control de las computadoras usado por los empleados del banco encargados del procesamiento de tarjetas de pago.
Los expertos indican que el grupo Metel permanece activo y que sus actividades continúan, aunque no se han identificado ataques fuera de Rusia. Sin embargo, se sospecha que hay motivos para sospechar que la infección se extiende y se aconseja a los bancos de todo el mundo que revisen posibles infecciones de manera proactiva.
Por su parte, GCMAN puede atacar con éxito una organización sin utilizar ningún tipo de malware, utilizando herramientas legítimas y de prueba de penetración solamente. En uno de los ataques analizados por Kaspersky Lab, los ciberdelincuentes permanecieron en la red durante un año y medio antes de activar el robo. El dinero se ha transferido en cantidades de alrededor de $200 dólares, el límite máximo para pagos anónimos en Rusia. Cada minuto, el programador CRON disparaba un script malicioso, y otra suma se transfería a cuentas de dinero electrónico pertenecientes a una mula de dinero. Las órdenes de transacción se enviaron directamente al portal de pago superior del banco y no aparecieron en ninguna otra parte dentro de los sistemas internos del banco.
En cuanto a Carbanak 2.0, indica el resurgimiento de la amenaza persistente avanzada Carbanak, con las mismas herramientas y técnicas, pero con un perfil de víctima diferente y formas innovadoras de retiro de dinero, ya que los objetivos no fueron sólo bancos, sino también los departamentos de presupuesto y contabilidad de cualquier organización de interés.
Para evitar estos ataques, Kaspersky Lab sugiere a las organizaciones financieras analizar sus redes en busca de la presencia de Carbanak, Metel y GCMAN y, en caso de detectar algo, desinfectar sus sistemas y reportar la intrusión a las instancias policiales.