En realidad no se trata de todos los famosos ciberdelincuentes, sino de un grupo específico que demostró que a veces el crimen si paga, pero no por mucho tiempo. La compañía de seguridad Kaspersky Lab acaba de hacer público el informe de una investigación realizada durante todo un año sobre los famosos ciberdelincuentes Lazarus, un grupo que se esconde en las redes y es el aparente responsables de uno de los robos más grandes al Banco Central de Bangladesh en 2016, cifra que superaría los 75 millones de euros.
Este golpe es considerado uno de los más grandes dados hasta el momento por estos famosos ciberdelincuentes de Lazarus, a quienes también se les hace responsable de toda una serie de repetitivos y devastadores ataques, conocido desde 2009 por sus ataques a empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países.
Luego de este gran ataque en Bangladesh, los famosos ciberdelincuentes de Lazarus permanecieron en silencio, pero la verdad es que siguen activos apunta Kaspersky, tal parece que la organización criminal está preparando nuevas operaciones para robar fondos de otros bancos. Consiguieron introducirse en una institución financiera del sudeste asiático, pero los productos de esta firma de seguridad detectaron el ataque y lo detuvieron, por lo que estuvieron inactivos los meses posteriores.
Luego de eso, los famosos ciberdelincuentes tomaron la decisión de dirigirse hacia Europa, pero de nuevo fueron neutralizados, gracias al trabajo de los equipos de respuesta rápida, análisis forense e ingeniería reversa de compañías de investigación.
Los dispositivos IoT en la mira de los ciberdelincuentes, advierte Kaspersky
Así operan los famosos ciberdelincuentes de Lazarus
Tomando como base los resultados del análisis forense de estos ataques, los analistas de Kaspersky Lab han sido capaces de reconstruir el modus operandi del grupo:
- Primera fase de ataque: Un sistema sencillo del banco se ve comprometido, bien remotamente a través de un código de acceso vulnerable, o mediante un ataque wateringhole aprovechándose de un exploit instalado. Luego de que se visita esa web el ordenador de la víctima, que debe ser un empleado del banco, recibe el malware que agrega componentes adicionales.
- Ya dentro del sistema: Es entonces cuando el grupo se mueve a otros hosts del banco y despliega backdoors permanentes, permitiendo que el malware vaya y venga como quiera.
- Reconocimiento interno: El grupo se dedica durante días y semanas a conocer la red y a identificar aquellos recursos de valor. Uno de esos recursos puede ser un servidor de backup, donde se almacena información de autenticación, un servidor de correo o los registros de procesos de transacciones financieras.
- Ejecución del robo: Finalmente despliegan un malware especial capaz de evitar las medidas de seguridad del software financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.
Periodista, amante de las redes sociales y de la tecnología, dad´s since 2015.
