Archivos de etiquetas: DNS

Bancos bajo ataque: Técnicas y tácticas utilizadas para apuntar a organizaciones financieras

Las pérdidas por costo de ciberataques se estima entre unos USD$100 a USD$300 millones, con estimación al ascenso. En los últimos años la banca ha perdido USD$87 millones sólo por concepto de ataques a la infraestructura SWIFT (Society for Worldwide Interbank Financial Telecommunication). Sin embargo, esto es sólo la punta del iceberg: un sólo grupo cibercriminal embolsó USD$1.200.000.000 desde más de 100 instituciones financieras de 40 países antes de que su líder fuese arrestado en 2018.
Los ciberataques menoscaban la integridad de la infraestructura tecnológica en una organización financiera, tal como los sistemas que controlan y ejecutan sus operaciones. Esto queda demostrado con los ataques realizados los últimos años, con mayor elaboración, sofisticación y alcances.
Cambios de técnicas y tácticas
Tradicionalmente los atacantes apuntan financieramente a los clientes de bancos, sin embargo, algunos como el grupo cibercriminal “Lurk”, mudaron su foco a los colaboradores de grandes empresas. Estos ataques comúnmente son dirigidos a empleados de los departamentos de contabilidad y finanzas. Los cibercriminales se han percatado de que ellos pueden robar fondos no solo al comprometer cuentas bancarias, sino también al apuntar a la infraestructura del banco o manipulando documentos y sistemas. Las redes de comunicaciones e infraestructura bancaria son vistas como objetivos pues es ahí donde esencialmente se encuentra el dinero. Atacarlos implica apuntar a cajeros automáticos, redes SWIFT y portales de pago, sistemas de procesamiento de pago con tarjetas y similares.
Investigaciones realizadas también descubrieron instancias en las que grupos criminales intentaron sobornar individualmente empleados bancarios en crear un esquema de extracción y lavado de dinero. En una instancia en concreto, se detectó un intento de crear una organización de caridad legítimamente, con sus cuentas bancarias y un muy bien elaborado sitio web. Los atacantes utilizaron las cuentas bancarias de esta organización para guardar el dinero extraído desde cuentas comprometidas; la fachada de la organización de caridad les dio suficiente tiempo para mover y retirar los fondos robados.
Las compañías de telecomunicaciones juegan un papel muy importante en la industria financiera, lo que también los convierte en objetivos apetecibles. Comprometer la infraestructura de telecomunicaciones presenta otra oportunidad de ganar dinero con el secuestro y redirección de SMS en teléfonos VIP. Los bancos frecuentemente ofrecen el uso de dispositivos móviles como un segundo factor de autenticación o para enviar una clave temporal (OTP: One Time Password) a sus clientes.
Ataques de ingeniería social también conocidos como “SIM Jacking” (secuestro de SIM) se han esparcido ampliamente. En estos ataques, el atacante identifica los números de teléfono de los clientes del banco cuyas cuentas han sido comprometidas. Entonces actúan como el suscriptor de la compañía de telecomunicaciones, reportan que extraviaron su tarjeta SIM para el número objetivo, luego engañan al proveedor para que les emitan otra tarjeta SIM. Esta luego será utilizada para transacciones en las cuales le será robado el dinero a la víctima.
Ataques a los clientes de bancos
Apuntar a los usuarios y/o clientes involucra distintas técnicas. Los atacantes combinan distintas técnicas desde la vieja y conocida (aunque aún efectiva) phishing, hasta el troyano bancario para Android “FakeSpy”. Algunas son constantemente actualizadas, agregando características que pueden automatizar la extracción de datos y fondos robados. Un malware bancario puede realizar esto al utilizar un motor de sistema automático de transferencia (ATS: Automatic Transfer System), el cual permite el uso de inyección de un script web para iniciar automáticamente transferencias de fondos y evitar mecanismos de autenticación.
Estas inyecciones de browser son versátiles. Los atacantes los pueden usar para evitar controle de seguridad de un banco, fuerzan a usuarios a instalar componentes maliciosos en sus dispositivos móviles, sortear mecanismos de autenticación, o extraer datos de pago tales como información de tarjeta de crédito. También pueden ejecutar ataques de ingeniería social para robar información personal identificable (fecha de nacimiento, apellido materno, nombre de mascota, entre otros) o auto transferirse fondos a otras cuentas bancarias controladas por los atacantes (también conocidas como cuentas “mula”).
Las inyecciones de código son insertadas en el sitio de un banco o sus componentes (como librerias JavaScript o iframes oculstos). Desafortunadamente, un usuario normal podría confiar abiertamente en la pagina web que ha sido intervenida.
Ataques a la infraestructura
La infraestructura también es objetivo de los atacantes. Muchos componentes de los sistemas bancarios, tales como los sistemas internos o interfaces PoS son usualmente dejadas expuestas a internet, haciéndolas más propicias a un ataque de ciberdelincuentes oportunistas.
Aunque no sean objetivos clave, existen múltiples campañas de distribución de malware con la capacidad de cambiar las capacidades de los DNS y usarlas como trampolín para llegar a sus reales objetivos. El equipo de red del usuario es intervenido a gran escala, lo que redirecciona a los atacantes a servidores DNS controlados por los atacantes. Esto expone a los usuarios a ataques de phishing y man-in-the-middle (MitM).
Ataques a proveedores de bancos
Para apuntar a la organización bancaria, los atacantes necesitan llegar a sus cimientos. A menudo lo realizan al atacar al eslabón más débil. Los ataques de ingeniería social son pan de cada día: Los hackers, por ejemplo, necesitan conocer acerca de los empleados actuales de la organización, posiblemente incluyendo sus cargos e intereses. Aduciendo ser una ayuda legítima o inclusive una urgencia, los documentos que les envían a estos empleados son abiertos sin mayor sospecha.
Una manera de colectar información es comprometer a las compañías que prestan servicios a estas organizaciones, tales como proveedores de terceras partes que realizan manutención a los ATM, o hackear en los foros con temática ad-hoc. El grupo Lurk, por ejemplo, invadió un foro en linea para contadores con tal de hallar a sus objetivos. Los atacantes pudieron a la vez obtener información de blancos potenciales al analizar los datos de las máquinas ya invadidas. Grupos como Cobalt y Silence también son conocidos por emplear esta técnica.
De hecho, según datos recopilados por SPN de Trend Micro, Silence apuntó a organizaciones financieras en Rusia, Bielorusia y Vietnam. Cobalt, por su parte, sigue activo, especialmente en la ex Unión Soviética y en el Este Europeo.
Cobalt también es conocido por comprometer las cadenas de suministro de organizaciones financieras para acceder al perímetro TI. Fueron identificados ataques de Cobalt a integradores de software, firmas de servicios financieros, y otros bancos para obtener acceso al banco de su interés. En 2018 se observó una campaña de spearphishing (phishing objetivizado a un objetivo de alto nivel) en contra de un integrador de sistemas de alto perfil en Rusia, lo cual fue utilizado como trampolín para ataques a organizaciones bancarias rusas.
Ataques a la infraestructura bancaria
Los ataques directos al perímetro de un banco es poco común, ya que los atacantes usualmente utilizan el phishing como primer movimiento para ganar un punto de entrada a su objetivo. Un ataque de phishing conlleva una larga preparación. Por ejemplo, en cada campaña, deben registrar un nombre de dominio que se asemeje al objetivo a suplantar (uno que tenga algún tipo de relación con la organización objetivo, y por ende, sea de frecuente acceso). El asunto y contenido del correo phishing también debe ser relacionado. Una de las técnicas utilizadas por los investigadores de seguridad para detectar estas estafas es validar la fecha de creación del dominio desde el cual se envían estos correos (si es demasiado reciente es posible que sea una suplantación de identidad).
Watering hole es una técnica también muy utilizada. El código de exploit es plantado en sitios comprometidos que los empleados de la organización objetivo visitan frecuentemente. Interesantemente estas actividades incrementan en ciertos horarios, como a la hora de almuerzo, cuando los usuarios generalmente tienen tiempo de navegar en internet, o al final de la tarde, cuando los usuarios tienden a estar menos atentos a correos sospechosos.
Mientras el objetivo principal es robar dinero (ya sea en forma electrónica o en papel moneda), también se han observado ataques motivados por el robo de datos sensibles o confidenciales, soborno, y manipulación de transacciones en línea, entre otros. Los atacantes también explotan otras vulnerabilidades en la infraestructura ATM y PoS para lavar dinero, tales como recoger pagos ilegales desde tarjetas de crédito robadas al cargar montos en terminales PoS.
Diferentes grupos utilizan distintas técnicas. El grupo Lazarus, por ejemplo, es conocido por intervenir switches ATM para robar fondos desde bancos, mientras otros prefieren métodos más tradicionales. Recientemente Lazarus robó USD$13.5 millones al hackear la infraestructura ATM y SWIFT de un banco.
Este ataque demostró un buen entendimiento de la plataforma SWIFT al intentar una transferencia fraudulenta. También mostró el conocimiento de los atacantes en sistemas bancarios al intervenir el protocolo de comunicación ISO 8583, el cual es un estándar internacional para la definición de transacciones financieras. Los atacantes hackeron en los procesadores de la interfaz ATM, el cual maneja el procesamiento inicial y las comunicaciones entre las entradas del dispositivos y el computador del host, también intervinieron el software ISO 8583 al inyectar código que produce respuestas fraudulentas a los requerimientos de las máquinas de ATM. Este ataque fue nombrado por el US-CERT como FASTCash.
Movimiento lateral y monetización
Una vez que los atacantes establecen un punto de entrada, a menudo intentan robar credenciales desde las maquinas comprometidas y empezar a expandirse lateralmente, como acceder a los controladores de dominio y segmentos de procesamiento de tarjetas.
Como ellos monetizan el ataque está influenciado en cuanto lograron comprometer los recursos de su objetivo. Un ejemplo es manipular balances de cuentas y límites de giro por ATM cuando envían sus “mulas” a tomar el dinero robado. Esta táctica es tan común que los actores de esta amenaza buscan sus cómplices en los foros del cibercrimen.
La monetización mediante giros de ATM es muy común una vez que el objetivo es comprometido. De hecho, existen foros en el cibercrimen y avisos buscando “operadores” de NCR 6625 (un modelo específico de ATM). También se ha observado una instancia en la cual una cuenta de una organización de caridad falsa se creó en un banco. Las transacciones no autorizadas fueron realizadas desde cuentas bancarias con balances que excedían el límite, lo cual les otorgó a los atacantes un botín de USD$50.000.
Estos ataques no están limitados a Rusia o países eslavo-parlantes. Por ejemplo, hay muchos foros ocultos en los cuales se buscan mulas para dinero que sería comisionado desde transacciones SWIFT en China.
Mantenerse adelante de las amenazas
Las organizaciones financieras no solo contienen el impacto de los ataques hasta su fin. También tienen que lidiar con su manchada reputación, reducción en la confianza del cliente, e indemnizaciones que les sigue el evento. Con la abundancia de técnicas que son observadas en distintos niveles, las cuales apuntan a organizaciones financieras, ya no son solo objetivos de amenazas complejas. Con un modo de operación tan directo como lo es el envío de un correo phishing, también son víctimas de cibercriminales oportunistas.
La diversidad de estos ataques significa que la organización debe ser multifacética, ver, monitorear, y filtrar que está sucediendo (y transitando) en los sistemas conectados a su red. Esto aplica especialmente para la industria financiera, que tiene unos requerimientos estrictos en protección de datos y parchado, además de las altas multas que pueden incurrir por infringirlas.
Los controles de seguridad de cada capa de la organización mitigan el riesgo en los servidores físicos y virtuales, segmentos de red, puertos, y protocolos para los endpoints que procesan transacciones. Defensa profunda (Defense in-depth) también provee visibilidad de cuál infraestructura necesita responder proactivamente a los ataques. Un ambiente donde las amenazas son aisladas ayuda a monitorear y filtrar el tráfico de correos y extirpar los correos anómalos. La segmentación de red y clasificación de datos mitigan el riesgo de movimiento lateral y penetración más profunda. Mecanismos de seguridad como el parchado virtual y los IPS unen las brechas de seguridad proactivamente sin causar disrupciones ni sobrecarga a las operaciones ni procesos de negocio. Los usuarios, particularmente clientes y empleados, también deben ser igualmente proactivos.
Fuentes:

GhostDNS: El nuevo botnet de DNS que ya ha secuestrado sobre 100 mil Routers

Investigadores de seguridad chinos han descubierto una campaña de malware que se está distribuyendo de amplia manera, y ya ha secuestrado sobre 100.000 routers para modificar sus configuraciones de DNS y así redirigir a los usuarios hacia páginas maliciosas (especialmente si intentan visitar sitios de bancos) y de esta forma así robar sus credenciales de acceso.
Denominado GhostDNS, esta campaña tiene muchas similitudes con el infame malware DNSChanger, el cual funciona modificando la configuración de los servidores DNS de un dispositivo infectado, permitiendo de esta manera que los atacantes ruteen el tráfico de internet de los usuarios hacia servidores maliciosos y así robar datos sensibles.
De acuerdo a un nuevo reporte de la empresa de seguridad Qihoo 360, GhostDNS analiza las IP de los routers que utilizan contraseñas débiles o no utilizan contraseña alguna (DNSChanger funciona de la misma manera), con tal de cambiar las direcciones DNS por defecto por alguna de las controladas por los atacantes.
Sistema GhostDNS: Se compone principalmente de 4 módulos:
1.- El modificador de DNS: Es el módulo principal de GhostDNS, el cual está diseñado para explotar routers definidos basados en la información recopilada.
Éste a la vez contiene 3 sub-módulos:
a) Shell DNS Changer: Escrito en Shell, este sub-módulo combina 25 scripts de Shell que pueden realizar ataques de fuerza bruta sobre las contraseñas en routers o paquetes de firmware de 21 fabricantes distintos.
b) Js DNSChanger: Principalmente escrito en JavaScript, este sub-módulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware distintos. Su estructura funcional es principalmente dividida en escaners, generadores de carga y programas de ataque. El programa Js DNSChanger usualmente es inyectado en sitios de Phishing, por lo que funciona bien junto con el sistema Phishing Web System.
c) PyPhp DNSChanger: Escrito en Python y PHP, este sub-módulo contiene 69 scripts de ataque distintos para 47 routers y firmware, éste ya ha sido encontrado sobre 100 servidores, muchos de ellos en la nube de Google, además incluye funcionalidades como una API Web, y módulos de escáner y ataque.
Éste sub-módulo es el principal de DNSChanger que permite que los atacantes busquen en internet por routers vulnerables.
2.- Módulo de administración Web: Aunque los investigadores aún no tienen mucha información acerca de este módulo, pareciera ser un panel de administración para los atacantes que contiene una pagina de login segura
3.- Módulo DNS malicioso: Es el responsable de resolver los nombres de dominio desde los servidores web controlados por los atacantes, lo que principalmente involucra a bancos y servicios de hosting en la nube; junto con un dominio que pertenece a la empresa de seguridad Avira.
4.- Módulo Phishing Web: Cuando un dominio apuntado es resuelto con éxito mediante el módulo DNS malicioso, el módulo de Phishing muestra la correcta versión falsa del sitio específico.
Investigadores de NetLab declararon: “No tenemos acceso al servidor DNS malicioso, así que no podemos decir con certeza cuantos nombres de DNS han sido secuestrados, pero al hacer consulta en los dominios de Alexa Top1M y DNSMon’s Top1M contra el servidor DNS malicioso (139.60.162.188), hemos sido capaces de detectar un total de 52 dominios secuestrados”

De acuerdo a los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS afectó a mas de 100.000 routers de los cuales el 87% se encuentran localizados en Brasil, por tanto se induce que ese país es el principal objetivo de los atacantes de GhostDNS.
Como proteger su router doméstico de los Hackers
Para poder protegerse a si mismo de ser una víctima de estos ataques, se recomienda que se asegure de que su router está ejecutando la ultima versión de su firmware, y además de que tiene contraseñas fuertes para el portal web de administración de su router.
También puede considerar el deshabilitar la administración remota, cambiar su dirección IP local por defecto, y configurar fijamente un servidor DNS de confianza (1.1.1.1) en el sistema operativo de su router.
Fuente: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html

Malware MaMi – macOS

Un nuevo malware que afecta a macOS (antes conocido como OSX) principalmente modifica los DNS del sistema afectado.
Este malware denominado como OSX/MaMi se caracteriza por la modificación de los DNS para que apunten a servidores controlados por los criminales presuntamente creadores de este malware, y la instalación de un certificado raíz.
De esta forma al intentar buscar una dirección, la respuesta de donde se encuentra ese servidor la da el DNS maligno en vez del de Google. Con esto se aseguran que una gran cantidad de personas puedan ver sus paginas de phishing sin sospechar mayormente de que se trata de una estafa.
Con la instalación del certificado consiguen que las páginas malignas que ellos preparan no levan sospechas en los navegadores al existir un certificado para estos sitios falsos.
Además permite que la comunicación entre el usuario y otro servicio sea fácilmente “espiable” por un ataque del tipo MitM (Man-in-the-Middle u hombre-en-el-medio) y así robar información como por ejemplo credenciales de correo, bancarias, privadas, etc…
Como si fuera poco lo ya indicado, este malware incluye funciones como ejecución de código remoto, descarga de archivo, control de mouse, etc. Por lo que se presume que su principal función es el espionaje.
Pero como no todo es catastrófico, los usuarios de Sophos ya se encuentran cubiertos ante esta amenaza. Cabe mencionar que Sophos fue elegido como uno de los mejores Anti Virus para Mac por la prestigiosa revisa especializada MacWorld, siendo el único AV gratuito de este listado.