Por... Daniel Blanco
Los atacantes, que según expertos son profesionales, lograron entrar a la red digital de un banco brasileño con 29.5 mil millones de dólares en activos.
Un sábado de octubre de 2016, Dmitry Bestuzhev, director de Análisis e Investigación de Kaspersky Lab en Latinoamíérica, recibió una llamada de su colega Fabio Assolini, en la cual le informaba que atacantes habían accedido a la red digital de un banco brasileño que cuenta con más de mil puntos de servicio, 5 millones de usuarios y 25.9 mil millones de dólares en activos.
Los hackers accedieron a la red digital del banco despuíés de penetrar la infraestructura del proveedor de servidores DNS (Sistema de Nombres de Dominio) los mismos tipos de servidores que fueron violados en 2016 en el ataque que tiró los servicios de WhatsApp, Twitter, entre otras empresas.
“Si un atacante tiene control o puede cambiar el DNS íél tendrá control sobre todo, puede controlar toda la infraestructura en línea de un banco o una empresaâ€, mencionó Assolini, miembro del Equipo de Investigación y Análisis (GreAT) de Kaspersky Labs.
El ataque duró 5 horas, en ese lapso los hackers controlaron cientos de miles o millones de transacciones de los clientes que accedieron a alguno de los servicio bancarios en línea o a travíés de la app.
Los atacantes, haciíéndose pasar por un cliente, compraron el servicio de Google Cloud para alojar un sitio malicioso idíéntico al de la institución financiera, de esa manera, cada vez que un cliente intentaba acceder a la página del banco o a uno de los servicio del mismo era redireccionado al sitio del hacker alojado en la nube.
“Por el gigantesco volumen de tráfico (que generaría), si eliges un proveedor chico, con una infraestructura pequeña, seguramente muchos clientes del banco al intentar acceder al dominio no podrían; el criminal lo planeó muy bien eligiendo un buen servicio de hosting para poner la página falsa que recibiría la dirección de las víctimasâ€, dijo Assolini en el marco de Security Analyst Summit.
Los hackers tuvieron el campo abierto gracias a que con un malware de instalación automática disfrazado de ‘plug in', podían engañar al software de seguridad de la institución.
“El malware tenía 8 módulos, un módulo era el ‘Avenger’ que es una herramienta limpia, buena que se usa para remover rootkits; un rootkit es un tipo específico de malware que entra profundamente en el sistema, a nivel muy bajo. El Avenger se puede usar para hacer la remoción de un rootkit manualmente (…) entonces un módulo del malware instalaba el ´Avenger´ en la computadora de la víctima y lo programaba para remover los programas de seguridadâ€, dijo el especialista.
“Estaba instalado para esto (‘Avenger´), para facilitar el robo, porque si remuevo el antivirus, el virus podrá hacer todo el trabajo tranquilamenteâ€, agregó
A pesar de que el ataque estaba dirigido a un banco en Brasil, tambiíén afectó a bancos en el Reino Unido, Japón, Italia, Argentina, China, Portugal, Francia, las Islas Caimán y Estados Unidos.
El malware robó información de inicio de sesión de la banca móvil y en línea, listas de contactos de Outlook y Exchange y credenciales de correo electrónico y FTP.
En total 36 dominios del banco fueron comprometidos, dentro estos destacan dominios de terminales PoS de tarjetas de críédito y díébito y de servicios bancarios en línea.
Fassolini menciona que, a pesar de que intentaron de diversas formas, no pudieron descifrar cuánto dinero e información se robó con esta amenaza ciberníética.