martes, 27 de marzo de 2018

Arrestado el líder detrás de Cobalt y Carbanak.

El líder de la banda detrás de Carbanak y Cobalt, malwares que tenían como objetivo cerca de 100 instituciones financieras alrededor del mundo, ha sido detenido en Alicante, España. La detención se ha producido gracias a la colaboración de las autoridades españolas, en colaboración con la Europol, el FBI y autoridades rumanas, bielorrusas y taiwanesas.




Desde 2013, la banda ha intentado atacar distintas entidades bancarias, concretamente los sistemas de pago electrónico usando distintas piezas de malware diseñados por ellos. Esta banda logró afectar a bancos de más de 40 paises y provocado pérdidas cercanas a mil millones en la industria. La magnitud de las pérdidas es enorme, ya que permitió a los atacantes robar cerca de 10 millones de euros por ataque.

El modus operandi del grupo criminal comenzó a finales de 2013, lanzando el malware Anunak dirigido a cajeros automáticos de distintas instituciones bancarias alrededor del mundo. Al año siguiente, los autores de Anunak mejoraron el código del malware a una versión más sofisticada llamada Carbanak, usado hasta finales de 2016. A partir de entonces, los autores dedicaron sus esfuerzos a desarrollar unas oleadas de ataques más sofisticadas usando Cobalt Strike, un software de pentesting.


Flujo de negocio del malware. Extraído de europol.europa.eu.


En todos estos ataques se utilizaba un modus operandi similar, los criminales enviarían a empleados de la banca correos cuyo contenido era spear-phishing (phishing dirigido a usuarios concretos) con un archivo adjunto malicioso. Al ser descargado, el software permitía a los criminales controlar remotamente las máquinas de las víctimas, y obtener acceso a la red interna del banco para poder infectar los servidores que controlan los cajeros automáticos. Gracias a esto, los atacantes poseían la información suficiente para poder extraer dinero de los cajeros.

Para poder sacar dinero, los atacantes enviaban órdenes a los cajeros de manera remota. El dinero era recolectado por grupos criminales organizados, que daban soporte al sindicato criminal principal. Al enviarse la orden, un miembro del grupo estaba esperando cerca de la máquina para extraer el dinero del cajeroLa red de pagos electrónicos se utilizaba para transferir el dinero a otras cuentas de la organización o de distintas entidades bancarias. Las bases de datos también eran manipuladas, para aumentar las cantidades de dinero que luego eran extraidas por las mulas. Finalmente, el dinero se lavaba a través de criptomonedas, utilizadas para comprar casas y coches de lujo.

La Europol facilitó el intercambio de información entre las distintas partes de la investigación, quienes de la misma manera afirma: "El arresto de la figura clave en este caso confirma que los cibercriminales no pueden continuar escondiendose detrás de la anonimidad internacional."


Fernando Diaz
fdiaz@hispasec.com


Más información: