Kaspersky Lab descubre el secuestro exprés a la red de un banco

Kaspersky Lab descubre el secuestro exprés a la red de un banco

El equipo de investigación de seguridad de Kaspersky Lab anunció hoy el descubrimiento de un ataque coordinado y rápido a todo un banco en el que fueron secuestrados los servicios bancarios en línea y móviles de la organización durante varias horas.

Los analistas de Kaspersky Lab detectaron el ataque en tiempo real y pudieron observar los movimientos de los ciberdelincuentes durante el espacio de cinco horas en el que la red digital de la organización estuvo bajo el control total de los atacantes. Se estima que el robo afectó a potencialmente cientos de miles o incluso millones de clientes en más de 300 ciudades.

Según los investigadores, el ataque se realizó en octubre de 2016 durante un fin de semana, cuando las operaciones del personal de seguridad suelen ser menos activas. Los atacantes accedieron a la red digital del banco penetrando la infraestructura del proveedor de servidores DNS. Una vez que adquirieron el control, los cibercriminales redirigieron las operaciones del banco a un prominente proveedor en la nube.

Meses antes del incidente, los atacantes generaron un certificado SSL digital legítimo en nombre del banco y lo utilizaron durante el ataque. Las víctimas, al visitar el sitio secuestrado, no recibieron de sus navegadores web ninguna advertencia; es más, la conexión aparecía como segura, ya que el certificado utilizado era legítimo y la conexión con el sitio estaba cifrada.

Durante un período de aproximadamente cinco horas, los atacantes controlaron las transacciones de cientos de miles o incluso millones de clientes que intentaron acceder a los servicios bancarios en línea o móviles mediante el uso de un malware de instalación automática disimulado como un popular plug-in de software de seguridad bancaria. Una vez instalado, el malware fue diseñado para robar, entre otras cosas, la información de inicio de la sesión de banca en línea y móvil, las listas de contactos de Outlook y Exchange, así como las credenciales de correo electrónico y FTP.

Además, los ciberdelincuentes eliminaron el software de seguridad instalado en los dispositivos de sus víctimas mediante el uso de herramientas anti-rootkit legítimas y gratuitas para evitar detección. También fue puesta en marcha durante este tiempo una campaña de phishing centrada en ciertos clientes para robar información de tarjetas de crédito. Más de 30 dominios pertenecientes al banco se vieron comprometidos, entre ellos los servicios de banca en línea, terminales PoS de tarjetas de crédito y de débito, y otras operaciones financieras.

Aunque el ataque comprometió las operaciones de un solo banco, el malware instalado en los dispositivos de las víctimas está diseñado para robar dinero de una lista de bancos predeterminados de todo el mundo. La mayoría de los bancos objetivo están en Brasil, pero otros bancos objetivo están en el Reino Unido, Japón, Portugal, Italia, China, Argentina, Francia, Estados Unidos y las Islas Caimán.