Entradas
Group-IB, una compañía internacional que se especializa en la prevención de ataques cibernéticos, ha estimado que en el H2 2017-H1 2018, los ataques cibernéticos causaron $ 49.4 millones de daños al sector financiero de Rusia.
Como se indica en el informe anual del Group-IB "Tendencias de delitos de alta tecnología 2018"presentado en la conferencia CyberCrimeCon18, cada mes, 1-2 bancos pierden dinero como resultado de ataques cibernéticos, y el daño causado por un robo exitoso es, en promedio, de u$s 2 millones.
"La motivación financiera aún prevalece entre los grupos de APT, sin embargo, el dinero robado no es lo más peligroso que le puede pasar a una organización financiera", dice Ilya Sachkov, CEO y fundador de Group-IB. “Dado que en muchos países los bancos se consideran infraestructura crítica, son los objetivos de los grupos de cibercriminales patrocinados por el estado, especializados en sabotaje. Un ataque exitoso es capaz de destruir una organización financiera e incluso promover el colapso de un sistema financiero estatal. Teniendo en cuenta esto, los bancos deben repensar su enfoque de protección contra las amenazas cibernéticas. La defensa es una estrategia obsoleta. Es hora de dejar de ser víctimas y convertirnos en cazadores".
En el nuevo informe, los expertos del Group-IB describe en detalle las amenazas cibernéticas para el sector financiero: grupos APT activos, tácticas de los atacantes, vectores de infección y nuevas herramientas de piratería informática.
Ataques dirigidos a los bancos:
Grupos activos y métodos de retirada.
Group-IB identifica 4 grupos de APT criminales que representan una amenaza real para el sector financiero: no solo pueden penetrar en la red de un banco y acceder a sistemas financieros aislados, sino que también pueden retirar dinero a través de SWIFT, AWS CBR, procesamiento de tarjetas y Cajeros automáticos Estos grupos son Cobalt, MoneyTaker, Silence, liderados por hackers de habla rusa, y el grupo norcoreano Lazarus.
Solo dos grupos delictivos representan una amenaza para el sistema de transferencia interbancaria SWIFT: Lazarus y Cobalt, este último, a fines de 2017, realizó el primer ataque exitoso en la historia del sector financiero de Rusia contra un banco que utiliza SWIFT.
Según las estimaciones del Group-IB, el número de ataques dirigidos a los bancos para realizar robos a través de SWIFT en el período del informe aumentó tres veces.
En el período anterior, se registraron tres ataques de este tipo: en Hong Kong, Ucrania y Turquía. En este período, sin embargo, ya ha habido 9 ataques exitosos en Nepal, Taiwán, Rusia, México, India, Bulgaria y Chile.
La buena noticia es que con SWIFT la mayoría de las transferencias no autorizadas pueden detenerse a tiempo y devolverse a los bancos afectados.
Los ataques al procesamiento de tarjetas siguen siendo uno de los principales métodos de robo y son utilizados activamente por piratas informáticos de Cobalt, MoneyTaker y Silence.
En febrero de 2018, los miembros de Silence realizaron un ataque exitoso a un banco y robaron dinero mediante el procesamiento de tarjetas: lograron retirar u$s 522,000 de las tarjetas a través de los cajeros automáticos de un banco asociado.
Los ataques con foco en los cajeros automáticos y el procesamiento de tarjetas llevaron a una reducción en la cantidad promedio de daño de un ataque.
Los atacantes están en un país, su víctima (el banco) en otro, y el retiro se realiza en un tercer país.
MoneyTaker utiliza activamente el retiro de dinero a través del CBR (Cliente Automatizado de la Estación de Trabajo del Banco Central de Rusia).
En noviembre de 2017, lograron retirar u$s 104,000, pero en el verano de 2018, robaron $ 865,000 rublos del Banco PIR.
MoneyTaker ya ha realizado 16 ataques en los EE. UU., 5 en bancos en Rusia y 1 en el Reino Unido.
En los EE. UU., el daño promedio de un ataque es de u$s 500,000. En Rusia, el monto promedio de los fondos retirados es de u$s 1.1 millones. En diciembre de 2017, el Group-IB publicó el primer informe sobre este grupo: “MoneyTaker: un año y medio de operaciones silenciosas”.
En el período designado, solo Cobalt realizó ataques a las pasarelas de pago.
En 2017, utilizaron este método para robar dinero de dos compañías, sin embargo, no se hicieron intentos en 2018.
Fueron ayudados en uno de sus ataques por miembros del grupo Anunak, que no había realizado ataques de este tipo desde 2014.
A pesar del arresto del líder de la banda en España en la primavera de 2018, Cobalt continúa siendo uno de los grupos más activos y agresivos, y ataca constantemente a las organizaciones financieras en Rusia y en el extranjero dos o tres veces al mes.
Ataques a clientes bancarios:
El declive de los troyanos Android y el triunfo del phishing
En Rusia, según los expertos del Group-IB, ya no queda ningún grupo que pueda explotar los robos de personas que utilicen troyanos bancarios para PC. Esta tendencia dirigida a reducir las amenazas de troyanos bancarios para PC ha continuado en Rusia desde 2012.
En la actualidad, solo tres grupos criminales, Buhtrap2, RTM y To
Los expertos del Group-IB notaron un cambio en las tácticas de los atacantes en la segunda mitad de 2017: el vector para la distribución de troyanos ya no era las campañas maliciosas tradicionales ni los sitios populares pirateados, sino la creación de nuevos recursos personalizados para contadores y ejecutivos de empresas, que utilizan sistemas bancarios remotos (RBS), sistemas de pago o billeteras de criptomonedas en su trabajo.
En los recursos falsos, los delincuentes colocaron un código que fue diseñado para descargar los troyanos Buhtrap y RTM.
A diferencia de Rusia, en el escenario global, el panorama de la amenaza cibernética ha experimentado cambios muy importantes.
Han surgido seis nuevos troyanos bancarios para PC: IcedID, BackSwap, DanaBot, MnuBot, Osiris y Xbot.
Entre los nuevos troyanos, nos gustaría destacar BackSwap, que inicialmente solo atacó a los bancos en Polonia, pero luego se trasladó a los bancos en España.
BackSwap es interesante porque implementó simultáneamente varias técnicas nuevas de introducción de código para reemplazar automáticamente los detalles de pago.
La mayor amenaza para los clientes bancarios aún proviene de grupos criminales que usan los troyanos Dridex, Trickbot y Gozi.
Durante el último año, los expertos del Group-IB notaron una disminución en Rusia de la epidemia de infectar teléfonos inteligentes con troyanos Android, después de varios años de rápido crecimiento.
La cantidad de robos diarios cometidos con troyanos Android en Rusia disminuyó casi tres veces, y la cantidad promedio de robo disminuyó de u$s 164 a u$s 104.
Los nuevos troyanos para Android: Easy, Exobot 2.0, CryEye, Cannabis, fmif, AndyBot, Loki v2, Nero banker, Sagawa y otros, que se ponen a la venta o se contratan en foros de hackers están destinados principalmente para su uso fuera de Rusia.
Una excepción a esto es el malware Banks in Your Hand. El troyano se disfrazó como una aplicación financiera destinada a ser utilizada como un "agregador" de los sistemas de banca móvil de los principales bancos de Rusia.
Todos los días, el troyano robó entre u$s 1,500 y u$s 7,500 de los usuarios, sin embargo, en marzo de 2018, con la ayuda del Group-IB, los delincuentes fueron detenidos por la policía.
Otra causa de la reducción en el daño entre los clientes puede explicarse por los bancos y los sistemas de pago que incorporan tecnologías para la detección temprana de fraudes que utilizan algoritmos de análisis de comportamiento, que permiten detectar ataques, que combinan fraudes de ingeniería social, redes de bots, redes ilegales de retiro de dinero y fraudes.
A través de múltiples canales y otros tipos de fraude bancario en todos los dispositivos y plataformas del cliente.
Ha habido un aumento significativo en la cantidad de delitos cometidos mediante el phishing web y sitios web falsos de bancos, sistemas de pago, operadores de telecomunicaciones, tiendas en línea y marcas famosas.
Mediante el uso de phishing web, los delincuentes han logrado robar u$s 3.7 millones, que es un 6% más que en el período anterior.
En promedio, aproximadamente u$s 15 son robados en cada ataque de phishing.
Según las estimaciones del Group-IB, el número de grupos que crean sitios web de phishing imitando a las marcas rusas ha aumentado de 15 a 26.
En cuanto a las tendencias globales, como se esperaba, la mayor cantidad de sitios web para phishing financiero están registrados en los Estados Unidos.
Ellos representan el 80% de todos los sitios de phishing financiero. Francia ocupa el segundo lugar, seguida de Alemania. El CEO del Group-IB, Ilya Sachkov, señala que para derrotar el delito cibernético, debemos sincronizar la ley a nivel estatal, golpear la base económica y los canales de financiamiento de los delincuentes e introducir una moratoria en el desarrollo y venta de armas digitales. Para evitar que caigan en manos de delincuentes.
“La seguridad cibernética debe ser un paradigma de prioridad para las personas, las empresas y el estado. Se piensa que contrarrestar las amenazas cibernéticas es una competencia típica de armaduras y equipos. Esta es la razón por la cual el paradigma de protección en sí mismo ha cambiado: la idea principal es estar unos pasos por delante de los ciberdelincuentes y evitar que los crímenes ocurran en primer lugar ".
Media Partner Platino: Kommersant
Media Partner Gold: «Lenta.ru» y «Anti-Malware.ru»
Media Partners Silver: RIAC, Xakep.ru, Profil, Infobank.by, EastWest Institute, BIS Journal, Infosecurity, AIS, ACISO, PIR CENTER, REG. RU, Webcontrol, Centro de coordinación de TLD RU, JetInfo, ITWare, SecurityLab, bits. medios de comunicación, Connnect, IT Connect Latam, BitnewsToday, DailyStorm, Coinspeaker, “Bankovskoye Obozreniye”, Banki.ru, Bitcoinnews, BTC, Coinspot, Blockspoint, ROCIT.
Acerca de Group-IB
Group-IB es una compañía internacional líder en la prevención e investigación de delitos cibernéticos. Es el primer proveedor ruso de soluciones de inteligencia de amenazas que se incluirá en los informes de Gartner, Forrester e IDC. Con el fin de prevenir ataques cibernéticos, Group-IB ha creado una gama de productos para la detección temprana de amenazas. La compañía es miembro permanente del Foro Económico Mundial. Group-IB tiene el laboratorio forense más grande de Europa del Este, y también un centro permanente que brinda una respuesta rápida a incidentes cibernéticos: CERT-GIB. En 2017, IDC nombró a Group-IB líder del mercado ruso para la investigación de amenazas cibernéticas.
