Archivos de etiquetas: Cajero Automático

Bancos bajo ataque: Técnicas y tácticas utilizadas para apuntar a organizaciones financieras

Las pérdidas por costo de ciberataques se estima entre unos USD$100 a USD$300 millones, con estimación al ascenso. En los últimos años la banca ha perdido USD$87 millones sólo por concepto de ataques a la infraestructura SWIFT (Society for Worldwide Interbank Financial Telecommunication). Sin embargo, esto es sólo la punta del iceberg: un sólo grupo cibercriminal embolsó USD$1.200.000.000 desde más de 100 instituciones financieras de 40 países antes de que su líder fuese arrestado en 2018.
Los ciberataques menoscaban la integridad de la infraestructura tecnológica en una organización financiera, tal como los sistemas que controlan y ejecutan sus operaciones. Esto queda demostrado con los ataques realizados los últimos años, con mayor elaboración, sofisticación y alcances.
Cambios de técnicas y tácticas
Tradicionalmente los atacantes apuntan financieramente a los clientes de bancos, sin embargo, algunos como el grupo cibercriminal “Lurk”, mudaron su foco a los colaboradores de grandes empresas. Estos ataques comúnmente son dirigidos a empleados de los departamentos de contabilidad y finanzas. Los cibercriminales se han percatado de que ellos pueden robar fondos no solo al comprometer cuentas bancarias, sino también al apuntar a la infraestructura del banco o manipulando documentos y sistemas. Las redes de comunicaciones e infraestructura bancaria son vistas como objetivos pues es ahí donde esencialmente se encuentra el dinero. Atacarlos implica apuntar a cajeros automáticos, redes SWIFT y portales de pago, sistemas de procesamiento de pago con tarjetas y similares.
Investigaciones realizadas también descubrieron instancias en las que grupos criminales intentaron sobornar individualmente empleados bancarios en crear un esquema de extracción y lavado de dinero. En una instancia en concreto, se detectó un intento de crear una organización de caridad legítimamente, con sus cuentas bancarias y un muy bien elaborado sitio web. Los atacantes utilizaron las cuentas bancarias de esta organización para guardar el dinero extraído desde cuentas comprometidas; la fachada de la organización de caridad les dio suficiente tiempo para mover y retirar los fondos robados.
Las compañías de telecomunicaciones juegan un papel muy importante en la industria financiera, lo que también los convierte en objetivos apetecibles. Comprometer la infraestructura de telecomunicaciones presenta otra oportunidad de ganar dinero con el secuestro y redirección de SMS en teléfonos VIP. Los bancos frecuentemente ofrecen el uso de dispositivos móviles como un segundo factor de autenticación o para enviar una clave temporal (OTP: One Time Password) a sus clientes.
Ataques de ingeniería social también conocidos como “SIM Jacking” (secuestro de SIM) se han esparcido ampliamente. En estos ataques, el atacante identifica los números de teléfono de los clientes del banco cuyas cuentas han sido comprometidas. Entonces actúan como el suscriptor de la compañía de telecomunicaciones, reportan que extraviaron su tarjeta SIM para el número objetivo, luego engañan al proveedor para que les emitan otra tarjeta SIM. Esta luego será utilizada para transacciones en las cuales le será robado el dinero a la víctima.
Ataques a los clientes de bancos
Apuntar a los usuarios y/o clientes involucra distintas técnicas. Los atacantes combinan distintas técnicas desde la vieja y conocida (aunque aún efectiva) phishing, hasta el troyano bancario para Android “FakeSpy”. Algunas son constantemente actualizadas, agregando características que pueden automatizar la extracción de datos y fondos robados. Un malware bancario puede realizar esto al utilizar un motor de sistema automático de transferencia (ATS: Automatic Transfer System), el cual permite el uso de inyección de un script web para iniciar automáticamente transferencias de fondos y evitar mecanismos de autenticación.
Estas inyecciones de browser son versátiles. Los atacantes los pueden usar para evitar controle de seguridad de un banco, fuerzan a usuarios a instalar componentes maliciosos en sus dispositivos móviles, sortear mecanismos de autenticación, o extraer datos de pago tales como información de tarjeta de crédito. También pueden ejecutar ataques de ingeniería social para robar información personal identificable (fecha de nacimiento, apellido materno, nombre de mascota, entre otros) o auto transferirse fondos a otras cuentas bancarias controladas por los atacantes (también conocidas como cuentas “mula”).
Las inyecciones de código son insertadas en el sitio de un banco o sus componentes (como librerias JavaScript o iframes oculstos). Desafortunadamente, un usuario normal podría confiar abiertamente en la pagina web que ha sido intervenida.
Ataques a la infraestructura
La infraestructura también es objetivo de los atacantes. Muchos componentes de los sistemas bancarios, tales como los sistemas internos o interfaces PoS son usualmente dejadas expuestas a internet, haciéndolas más propicias a un ataque de ciberdelincuentes oportunistas.
Aunque no sean objetivos clave, existen múltiples campañas de distribución de malware con la capacidad de cambiar las capacidades de los DNS y usarlas como trampolín para llegar a sus reales objetivos. El equipo de red del usuario es intervenido a gran escala, lo que redirecciona a los atacantes a servidores DNS controlados por los atacantes. Esto expone a los usuarios a ataques de phishing y man-in-the-middle (MitM).
Ataques a proveedores de bancos
Para apuntar a la organización bancaria, los atacantes necesitan llegar a sus cimientos. A menudo lo realizan al atacar al eslabón más débil. Los ataques de ingeniería social son pan de cada día: Los hackers, por ejemplo, necesitan conocer acerca de los empleados actuales de la organización, posiblemente incluyendo sus cargos e intereses. Aduciendo ser una ayuda legítima o inclusive una urgencia, los documentos que les envían a estos empleados son abiertos sin mayor sospecha.
Una manera de colectar información es comprometer a las compañías que prestan servicios a estas organizaciones, tales como proveedores de terceras partes que realizan manutención a los ATM, o hackear en los foros con temática ad-hoc. El grupo Lurk, por ejemplo, invadió un foro en linea para contadores con tal de hallar a sus objetivos. Los atacantes pudieron a la vez obtener información de blancos potenciales al analizar los datos de las máquinas ya invadidas. Grupos como Cobalt y Silence también son conocidos por emplear esta técnica.
De hecho, según datos recopilados por SPN de Trend Micro, Silence apuntó a organizaciones financieras en Rusia, Bielorusia y Vietnam. Cobalt, por su parte, sigue activo, especialmente en la ex Unión Soviética y en el Este Europeo.
Cobalt también es conocido por comprometer las cadenas de suministro de organizaciones financieras para acceder al perímetro TI. Fueron identificados ataques de Cobalt a integradores de software, firmas de servicios financieros, y otros bancos para obtener acceso al banco de su interés. En 2018 se observó una campaña de spearphishing (phishing objetivizado a un objetivo de alto nivel) en contra de un integrador de sistemas de alto perfil en Rusia, lo cual fue utilizado como trampolín para ataques a organizaciones bancarias rusas.
Ataques a la infraestructura bancaria
Los ataques directos al perímetro de un banco es poco común, ya que los atacantes usualmente utilizan el phishing como primer movimiento para ganar un punto de entrada a su objetivo. Un ataque de phishing conlleva una larga preparación. Por ejemplo, en cada campaña, deben registrar un nombre de dominio que se asemeje al objetivo a suplantar (uno que tenga algún tipo de relación con la organización objetivo, y por ende, sea de frecuente acceso). El asunto y contenido del correo phishing también debe ser relacionado. Una de las técnicas utilizadas por los investigadores de seguridad para detectar estas estafas es validar la fecha de creación del dominio desde el cual se envían estos correos (si es demasiado reciente es posible que sea una suplantación de identidad).
Watering hole es una técnica también muy utilizada. El código de exploit es plantado en sitios comprometidos que los empleados de la organización objetivo visitan frecuentemente. Interesantemente estas actividades incrementan en ciertos horarios, como a la hora de almuerzo, cuando los usuarios generalmente tienen tiempo de navegar en internet, o al final de la tarde, cuando los usuarios tienden a estar menos atentos a correos sospechosos.
Mientras el objetivo principal es robar dinero (ya sea en forma electrónica o en papel moneda), también se han observado ataques motivados por el robo de datos sensibles o confidenciales, soborno, y manipulación de transacciones en línea, entre otros. Los atacantes también explotan otras vulnerabilidades en la infraestructura ATM y PoS para lavar dinero, tales como recoger pagos ilegales desde tarjetas de crédito robadas al cargar montos en terminales PoS.
Diferentes grupos utilizan distintas técnicas. El grupo Lazarus, por ejemplo, es conocido por intervenir switches ATM para robar fondos desde bancos, mientras otros prefieren métodos más tradicionales. Recientemente Lazarus robó USD$13.5 millones al hackear la infraestructura ATM y SWIFT de un banco.
Este ataque demostró un buen entendimiento de la plataforma SWIFT al intentar una transferencia fraudulenta. También mostró el conocimiento de los atacantes en sistemas bancarios al intervenir el protocolo de comunicación ISO 8583, el cual es un estándar internacional para la definición de transacciones financieras. Los atacantes hackeron en los procesadores de la interfaz ATM, el cual maneja el procesamiento inicial y las comunicaciones entre las entradas del dispositivos y el computador del host, también intervinieron el software ISO 8583 al inyectar código que produce respuestas fraudulentas a los requerimientos de las máquinas de ATM. Este ataque fue nombrado por el US-CERT como FASTCash.
Movimiento lateral y monetización
Una vez que los atacantes establecen un punto de entrada, a menudo intentan robar credenciales desde las maquinas comprometidas y empezar a expandirse lateralmente, como acceder a los controladores de dominio y segmentos de procesamiento de tarjetas.
Como ellos monetizan el ataque está influenciado en cuanto lograron comprometer los recursos de su objetivo. Un ejemplo es manipular balances de cuentas y límites de giro por ATM cuando envían sus “mulas” a tomar el dinero robado. Esta táctica es tan común que los actores de esta amenaza buscan sus cómplices en los foros del cibercrimen.
La monetización mediante giros de ATM es muy común una vez que el objetivo es comprometido. De hecho, existen foros en el cibercrimen y avisos buscando “operadores” de NCR 6625 (un modelo específico de ATM). También se ha observado una instancia en la cual una cuenta de una organización de caridad falsa se creó en un banco. Las transacciones no autorizadas fueron realizadas desde cuentas bancarias con balances que excedían el límite, lo cual les otorgó a los atacantes un botín de USD$50.000.
Estos ataques no están limitados a Rusia o países eslavo-parlantes. Por ejemplo, hay muchos foros ocultos en los cuales se buscan mulas para dinero que sería comisionado desde transacciones SWIFT en China.
Mantenerse adelante de las amenazas
Las organizaciones financieras no solo contienen el impacto de los ataques hasta su fin. También tienen que lidiar con su manchada reputación, reducción en la confianza del cliente, e indemnizaciones que les sigue el evento. Con la abundancia de técnicas que son observadas en distintos niveles, las cuales apuntan a organizaciones financieras, ya no son solo objetivos de amenazas complejas. Con un modo de operación tan directo como lo es el envío de un correo phishing, también son víctimas de cibercriminales oportunistas.
La diversidad de estos ataques significa que la organización debe ser multifacética, ver, monitorear, y filtrar que está sucediendo (y transitando) en los sistemas conectados a su red. Esto aplica especialmente para la industria financiera, que tiene unos requerimientos estrictos en protección de datos y parchado, además de las altas multas que pueden incurrir por infringirlas.
Los controles de seguridad de cada capa de la organización mitigan el riesgo en los servidores físicos y virtuales, segmentos de red, puertos, y protocolos para los endpoints que procesan transacciones. Defensa profunda (Defense in-depth) también provee visibilidad de cuál infraestructura necesita responder proactivamente a los ataques. Un ambiente donde las amenazas son aisladas ayuda a monitorear y filtrar el tráfico de correos y extirpar los correos anómalos. La segmentación de red y clasificación de datos mitigan el riesgo de movimiento lateral y penetración más profunda. Mecanismos de seguridad como el parchado virtual y los IPS unen las brechas de seguridad proactivamente sin causar disrupciones ni sobrecarga a las operaciones ni procesos de negocio. Los usuarios, particularmente clientes y empleados, también deben ser igualmente proactivos.
Fuentes: