Últimamente, los medios de comunicación han vuelto a hablar sobre Carbanak, ya que unos investigadores de seguridad han encontrado el código fuente de este malware en el portal abierto VirusTotal. Hasta la fecha, Carbanak está considerada como la ciberamaneza financiera de más éxito, ya que causó pérdidas de hasta mil millones de dólares.
La historia de Carbanak
Nuestros expertos descubrieron y analizaron Carbanak por primera vez en el 2014. Comenzaron con la investigación de robos de efectivo en cajeros automáticos, pero pronto descubrieron que estos incidentes estaban relacionados y se trataba de una gran campaña internacional que pretendía robar una gran cantidad de dinero a varios bancos de todo el mundo. Al principio nuestros expertos solo estudiaban los incidentes de Europa del Este, pero pronto encontraron más víctimas en Estados Unidos, Alemania y China.
Al igual que otros muchos ataques, esta campaña comenzó con spear phishing. En este caso, se trataba de una serie de correos electrónicos dirigidos y armados con archivos adjuntos maliciosos que instalaban una puerta trasera con la base del malware Carberp. Esta puerta trasera dejaba paso a toda la red de la organización, en este caso, las redes de los bancos, y comprometía a los ordenadores que podrían dar la oportunidad a los ciberdelincuentes de extraer el dinero.
Los delincuentes llegaban al dinero de diferentes formas. En algunos casos, daban instrucciones en remoto a los cajeros automáticos para dispensar efectivo que más tarde recopilarían las mulas. En otros, utilizaban la red SWIFT para transferir el dinero directamente a sus cuentas. Hasta el 2014 no se habían explotado este tipo de métodos, por lo que la escala y las tecnologías empleadas por Carbanak sacudieron tanto a la industria bancaria como a la de la ciberseguridad.
¿Qué nos depara el futuro?
Tras el descubrimiento de Carbanak, nuestros expertos han presenciado varios ataques (Silence, por ejemplo) que intentaban tácticas similares y rastrearon otras señales del mismo grupo criminal, que seguía bastante activo. Pero ahora que el código fuente de Carbanak se ha hecho público, este tipo de incidentes podrían hacerse cada vez más frecuentes, pues queda disponible para los ciberdelincuentes que no tengan los conocimientos de codificación necesarios para producir un malware tan complejo. El investigador de Kaspersky Lab, Sergey Golovanov, que ha investigado este caso desde el principio, tiene algo que decir al respecto:
“El hecho de que el código fuente del famoso malware Carbanak esté disponible en un sitio web de código abierto es un mal augurio. De hecho, Carbanak se desarrolló con el código fuente del malware Carberp después de su publicación online. Tenemos razones para creer que esta situación se repetirá y que veremos modificaciones más peligrosas de Carbanak en el futuro. La buena noticia es que desde la filtración de Carberp, la industria de la ciberseguridad ha evolucionado de forma significativa y que ahora se puede reconocer fácilmente el código modificado. Ante esto, alentamos a las empresas y particulares a protegerse contra estas amenazas y las que vienen con una solución de seguridad de confianza”.
Cómo mantenerte a salvo
Para protegerte de las amenazas como Carbanak, te recomendamos que lleves a cabo las siguientes medidas:
- Integra fuentes de inteligencia sobre amenazas en tu SIEM y demás controles de seguridad para acceder a los datos de amenazas más relevantes y actualizados y poder prepararte así contra los futuros ataques. Para protegerte contra este tipo de amenazas avanzadas, lo mejor es conocerlas y saber lo que tienes que buscar y precisamente esta es la información de las fuentes de inteligencia.
- Implementa soluciones EDR como Kaspersky Endpoint Detection and Response para una detección, investigación y corrección oportuna de incidentes en endpoint. La muestra de una actividad similar a Carbanak en un equipo requiere una reacción inmediata y ahí es donde te pueden ayudar las soluciones EDR.
- Implementa una solución de seguridad para empresas que detecte amenazas avanzadas en la red en fase inicial, como Kaspersky Anti Targeted Attack Platform, además de adoptar una protección esencial para endpoint.