El mayor atraco del siglo: los ciberdelincuentes roban mil millones de dólares

El grupo Carbank robó en total 1 billón de dólares de docenas de bancos de todo el mundo.

ACTUALIZACIÓN a 26 de marzo de 2018: El líder de la banda de cibercriminales autora del robo ha sido detenido en Alicante por agentes de la Policía Nacional.

Las Amenazas Persistentes Avanzadas, o APT, son un tema fundamental para los expertos de Infosec, ya que en este tipo de ataques se suelen emplear las herramientas más sofisticadas de los hackers. Sin embargo, para una persona normal estas amenazas no tienen interés en absoluto.

Para el público en general, algunos de los ataques más conocidos eran como una especie de espionaje de ficción pero en la vida real. Hasta hace poco, las APT no eran un problema sobre el que hubiera que preocuparse, ya que la mayoría se dirigía a organizaciones gubernamentales, donde todos los detalles de las investigaciones eran altamente confidenciales y con un efecto económico real a desafiar a la hora de evaluarlas por razones obvias.

Sin embargo, las cosas están a punto de cambiar: las APT inauguraron su presencia en el sector comercial o, para ser más exactos, en el sector bancario. Los resultados son bastante fáciles de evaluar: las pérdidas como consecuencia de una campaña de APT dirigida a docenas de instituciones financieras a nivel global ascendieron a mil millones de dólares.

El vector del ataque

Para infiltrarse en la intranet del banco, los ciberdelincuentes usaron correos electrónicos con phishing, atrayendo a los usuarios para abrirlos e infectar los ordenadores con malware. Después, se instalaba una puerta trasera en el ordenador de la víctima basada en el código malicioso Carberp que, a su vez, dio nombre a la campaña, Carbanak.

En total, las pérdidas debidas a la campaña APT que ha afectado a instituciones de todo el mundo alcanzan mil millones de dólares

Tras hacerse con el control de la máquina comprometida, los cibercriminales la utilizaron como punto de acceso; sondearon la intranet del banco e infectaron otros ordenadores para averiguar cuál de ellos podría ser utilizado para acceder a los sistemas financieros críticos.

Una vez hecho esto, los delincuentes estudiaron las herramientas financieras utilizadas por los bancos, utilizando el keylogger y la función de captura de pantalla oculta.

Para acabar, los ciberdelincuentes retiraron los fondos, definiendo los métodos más convenientes en cada caso, ya sea mediante una transferencia de dinero SWIFT, o a través la creación de cuentas bancarias falsas con efectivo retirado por ‘mulas’, o por medio de un comando remoto a un cajero automático.

es_inf_Carbanak

De media, tardaron entre dos y cuatro meses en vaciar las cuentas de cada banco afectado, desde el día de la infección hasta la retirada del efectivo.

Estimación de pérdidas

De una forma u otra, los delincuentes sustrajeron a cada banco afectado entre 2,5 y 10 millones de dólares, una cantidad que llama la atención incluso cuando se evalúa individualmente. Teniendo en cuenta que decenas, hasta un centenar de organizaciones, perdieron sus fondos debido al ataque APT, la pérdida acumulada podría ascender en total a la impresionante cifra de mil millones de dólares.

Los países que más sufrieron debido al ataque incluyen a Rusia, EE.UU., Alemania, China y Ucrania. Actualmente, Carbanak se está extendiendo a nuevos puntos geográficos y está presente en Malasia, Nepal, Kuwait y varios países africanos.

es_map_1-01

En base a la información de Kaspersky Lab, las primeras muestras del malware utilizado por Carbanak se crearon en agosto de 2013. Los primeros casos de infección datan de diciembre de 2013. El primer robo con éxito se llevó a cabo entre febrero y abril de 2014, con un pico de ataques en junio de 2014, donde se registra un mayor número de ataques.

Al parecer, los delincuentes no se detendrán hasta que les atrapen. Ahora, tanto los centros de ciberdefensa nacional como las organizaciones internacionales incluyendo Europol e Interpol, están involucrados en la investigación. El GReAT (Global Research and Analysis Team) de Kaspersky, también ha unido sus fuerzas.

¿Cómo protegerse de esta amenaza?

Ahora, una buena noticia para nuestros clientes:

  • Todos los productos y soluciones de Kaspersky Lab detectan muestras conocidas del malware de Carbanak: Win32.CarbanakyBackdoor.Win32.CarbanakCmd.
  • Para estar seguro de que tu nivel de protección se mantiene alto, te recomendamos que habilites el módulo de protección proactivo que se incluye en todas las versiones de nuestros productos de Kaspersky.

Además, te ofrecemos un par de consejos para protegerte de esta y otras amenazas de seguridad:

  • Nunca abras correos electrónicos sospechosos, especialmente los que vayan acompañados de un archivo adjunto.
  • Actualiza tu software regularmente. Por ejemplo, esta campaña no utilizó vulnerabilidades de ataques Día Cero, pero sí que utilizó errores ya conocidos y previamente parcheados por las empresas.
  • Activa la detección heurística en tu antivirus: esto aumentará las probabilidades de que una muestra de malware se detecte con antelación.

Puedes encontrar más información sobre la campaña Carbanak y los detalles de la investigación del equipo GReAT en el blog Securelist.

Consejos