Un sábado de octubre de 2016, Dmitry Bestuzhev, director de Análisis e Investigación de Kaspersky Lab en Latinoamérica, recibió una llamada de su colega Fabio Assolini, en la cual le informaba que atacantes habían accedido a la red digital de un banco brasileño que cuenta con más de mil puntos de servicio, 5 millones de usuarios y 26.000 millones de dólares en activos.
Los hackers accedieron a la red digital del banco después de penetrar la infraestructura del proveedor de servidores DNS (Sistema de Nombres de Dominio) los mismos tipos de servidores que fueron violados en 2016 en el ataque que tiró los servicios de WhatsApp, Twitter, entre otras empresas.
«Si un atacante tiene control o puede cambiar el DNS él tendrá control sobre todo, puede controlar toda la infraestructura en línea de un banco o una empresa», mencionó Assolini, miembro del Equipo de Investigación y Análisis (GreAT) de Kaspersky Labs, en entrevista con El Financiero.
El ataque duró 5 horas, en ese lapso los hackers controlaron cientos de miles o millones de transacciones de los clientes que accedieron a alguno de los servicio bancarios en línea o a través de la app.
Los atacantes, haciéndose pasar por un cliente, compraron el servicio de Google Cloud para alojar un sitio malicioso idéntico al de la institución financiera, de esa manera, cada vez que un cliente intentaba acceder a la página del banco o a uno de los servicio del mismo era redireccionado al sitio del hacker alojado en la nube.
«Por el gigantesco volumen de tráfico (que generaría), si eliges un proveedor pequeño o básico, con una infraestructura pequeña, seguramente muchos clientes del banco al intentar acceder al dominio no podrían; el criminal lo planeó muy bien eligiendo un buen servicio de hosting para poner la página falsa que recibiría la dirección de las víctimas», dijo Assolini en el marco de Security Analyst Summit.
Los hackers tuvieron el campo abierto gracias a que con un malware de instalación automática disfrazado de ‘plug in’, podían engañar al software de seguridad de la institución.
«El malware tenía 8 módulos, un módulo era el ‘Avenger’ que es una herramienta limpia, buena, que se usa para remover rootkits; un rootkit es un tipo específico de malware que entra profundamente en el sistema, a nivel muy bajo. El Avenger se puede usar para hacer la remoción de un rootkit manualmente (…) entonces un módulo del malware instalaba el ´Avenger´ en la computadora de la víctima y lo programaba para eliminar/parar los programas de seguridad», dijo el especialista.
«Estaba instalado para esto (‘Avenger´), para facilitar el robo, porque si elimino o neutralizo el antivirus, el virus podrá hacer todo el trabajo tranquilamente», agregó.
A pesar de que el ataque estaba dirigido a un banco en Brasil, también afectó a bancos en el Reino Unido, Japón, Italia, Argentina, China, Portugal, Francia, las Islas Caimán y Estados Unidos.
El malware robó información de inicio de sesión de la banca móvil y en línea, listas de contactos de Outlook y Exchange y credenciales de correo electrónico y FTP.
En total 36 dominios del banco fueron comprometidos, dentro estos destacan dominios de terminales PoS de tarjetas de crédito y débito y de servicios bancarios en línea.
Fassolini menciona que, a pesar de que intentaron de diversas formas, no pudieron descifrar cuánto dinero e información se robó con esta amenaza cibernética.
Fuente: Wikipedia, kaspersky/blog, xataka, welivesecuirty y adslzone
Una idea sobre “Así se secuestra un banco digitalmente”
3 años después, y nunca se supo ni qué banco fue, ni a cuántos clientes afectó, y claro está, esos clientes podrían haber sido avisados para cambiar sus datos de acceso al banco. Vergonzoso!