Banks panda security

Durante años, conseguir dinero se ha convertido en el principal objetivo de los ciberdelincuentes lo que ha puesto a los sistemas financieros en el punto de mira. Durante más de una década los ataques se han dirigido hacia el eslabón más débil de la cadena: el usuario final que utiliza servicios de banca online.

Esta estrategia supone algunas ventajas para los cibercriminales, como la escasa seguridad en el usuario final,  el robo de cantidades pequeñas que pueden pasar desapercibidas durante cierto tiempo, etc… Sin embargo, también presenta ciertos inconvenientes principalmente relacionados con la necesidad de encontrar ‘mulas’ que trasporten el dinero, encontrar e infectar víctimas que utilicen alguno de los bancos atacados o evitar la acción de soluciones anti-malware.

Esta táctica puede reportar mucho dinero a los atacantes, pero también requiere de un gran esfuerzo por su parte.

La pregunta del millón es: ¿ dónde están las grandes cantidades de dinero? Sin lugar a dudas, en las propias entidades financieras. Penetrar en ellas es una tarea peliaguda y todavía resulta más complicado entender cómo funcionan sus sistemas internos para poder atacarlos, llevarse el botín y marcharse sin dejar huella. Se necesita una gran inversión para recopilar toda la información necesaria para este tipo de ataque. Además, no resulta nada fácil de realizar y puede requerir de varios meses, incluso años, de cuidadosa planificación. Aún así, merece la pena si consigues llevarte mil millones de dólares en un sólo golpe.

Tres ejemplos de robos millonarios

Eso es básicamente lo que sucedió en el Banco Central de Bangladesh en febrero de este año, cuando un grupo de atacantes consiguió infectar el sistema con malware creado específicamente para la ocasión e intentó realizar transferencias fraudulentas por un valor de 951 millones de dólares. Dicha cantidad de dinero se encontraba en la cuenta que el Banco Central de Bangladesh tenía en el Banco de la Reserva Federal de Nueva York. Afortunadamente, la mayoría de trasferencias pudieron ser bloqueadas y ‘únicamente’ se robaron 81 millones de dólares. Pero este no es el único caso.

Tien Phon Bank, un banco comercial vietnamita, sufrió un ataque similar en el último trimestre de 2015. En dicha ocasión los ciberdelincuentes también trataron de realizar transferencias a través de SWIFT pero la entidad se dio cuenta a tiempo y logró bloquear las transferencias que ascendían a 1 millón de dólares. Unos pocos meses antes, en enero de 2015, un banco ecuatoriano –Banco del Austro– sufrió un ataque parecido y le lograron robar 9 millones de dólares.

banks-sting-illustration

En todos ellos se utilizó malware para llevar a cabo el ataque y las transferencias de dinero fueron realizadas a través de la red SWIFT (Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales). Un posible ataque a esta red sería la mayor preocupación, ya que la plataforma SWIFT es utilizada por la mayoría de entidades financieras mundiales para realizar transferencias bancarias en un entorno seguro y si resultase vulnerable ante un ataque externo todo el sistema estaría en peligro. Afortunadamente, parece que este no ha sido el caso y SWIFT ha publicado una nota de prensa en la que afirma claramente lo siguiente: “Ni la red, ni los servicios centrales de mensajería, ni el software de SWIFT se han visto comprometidos.”

 El diseño del malware utilizado nos indica que los atacantes buscarán más bancos con fallos en su modelo de seguridad.

Sin embargo, esto depende del punto de vista: los ciberdelincuentes han logrado utilizar la red SWIFT para perpetrar estos atracos. Y para ello han tomado una estrategia similar a la descrita al principio de este artículo: ir a por el eslabón más débil de la cadena. SWIFT proporciona un entorno seguro, pero al final cada institución financiera tiene su propio sistema interno que debe comunicarse con esta red. Del mismo modo que los ciberdelincuentes van a por los clientes finales de los bancos con troyanos bancarios, ahora en lugar de ir a por la red SWIFT van tras las entidades que se conectan a ella.

¿Cómo sucedieron estos ataques?

Hay muchas cosas que no se saben aún y muchas de ellas no llegarán a conocerse nunca. Los criminales han conseguido ocultar sus huellas y de hecho, el objetivo principal de unos de los ejemplares de malware utilizados en el ataque era eliminar su rastro. Desde luego, hay una cosa de la que estamos absolutamente seguros: se empleó malware en el ataque. Pero ¿cómo entró en la red?

Existen dos opciones: o se contó con ayuda desde el interior de la institución o se trató de un ataque externo a través de Internet. Ambas teorías son plausibles y todavía más tras comprobarse que la seguridad de la infraestructura del Banco Central de Bangladesh no era tan buena como cabía esperar.

Si analizamos atentamente el incidente de Bangladesh, se trató de una ataque altamente sofisticado y dirigido específicamente a ellos, pero el diseño del malware utilizado (un fichero de configuración externo, lo que no tiene sentido si se trata de un único golpe) nos indica que encontraremos nuevas víctimas, según la información que tenemos de otros ataques.

SWIFT advierte a los bancos de que su prioridad debe ser asegurarse de tomar todas las medidas preventivas y de detección necesarias para proteger su entorno.

Los delincuentes van a seguir intentándolo y antes o después conseguirán su objetivo. De todas formas, sabemos qué es lo que buscan (dinero) y qué equipos van a intentar atacar (aquellos que se conecten a la red de SWIFT). El acceso a la red SWIFT es altamente restringido, sólo se puede efectuar desde determinados equipos y sólo se permite su uso a ciertos usuarios. Estos ordenadores tienen que estar altamente fortificados y no nos referimos únicamente a tener todo su software actualizado y utilizar una solución anti-malware.

Todos los procesos que se ejecuten deben ser monitorizados en tiempo real, registrándose todo lo que suceda y buscando comportamientos no habituales. No importa si el ataque proviene de Internet o cuenta con la ayuda de alguien de dentro de la organización. No se puede permitir la ejecución de software no autorizado en dichos terminales, y los autorizados deben ser protegidos con tecnologías anti-exploit y monitorizados en tiempo real.

Por supuesto, si una persona tiene acceso físico a un equipo que suponga un objetivo puede llegar a desactivar la solución de seguridad que tenga instalada, lo cual en sí no es un problema siempre que se genere una alerta en la consola que utiliza el equipo de seguridad. De hecho ¿hay mejor indicador de compromiso que alguien manipulando el software de seguridad instalado en un sistema crítico?

Consejos para evitar “ciberatracos”

Una de las cosas más frustrantes por las que pasan las víctimas de un ataque es la falta de información sobre el mismo. ¿Cómo sucedió? ¿Cuándo empezó? ¿Cuánto duró? ¿Qué hicieron los delincuentes una vez comprometieron los equipos? ¿Ha habido alguna fuga de información? Por ejemplo, tras el ataque al Banco Central de Bangladesh se consiguieron recuperar tres ejemplares de malware, pero eso fue todo lo que quedó. Seguramente los atacantes emplearon muchas otras herramientas que fueron eliminadas y de las que las víctimas no sabrán nunca nada.

El conocimiento es poder y  saber cómo ha sucedido un incidente ayudará a resolver cualquier fallo de seguridad o vulnerabilidad del entorno.

Sólo existen unas pocas soluciones capaces de ofrecer este nivel de servicio. Panda Security ha desarrollado Adaptive Defense para este tipo de situaciones, una solución utilizada de forma activa por gran número de infraestructuras sensibles como entidades financieras, gobiernos y grandes empresas pertenecientes a distintos sectores (sanidad, hostelería, seguros, servicios públicos, etc.) En todos los casos se trata de instituciones que no sólo sufren los ataques más habituales, sino auténticos ataques dirigidos contra sus activos.

El mejor consejo para solventar estos ataques es contar con una solución cuya efectividad esté avalada por los usuarios.  Hemos tratado ya algunos de ellos, como el que afectó hace unas semanas  a una cadena de hoteles de lujo , o el que sufrieron varias empresas de transporte de petróleo.

Nuestra conclusión tras estudiar estos ataques es que si estos bancos hubieran utilizado Panda Adaptive Defense en sus terminales conectados a la red SWIFT, el robo podría haber sido detenido a tiempo.