La modalidad de ataque, que pone de relieve un alto grado de sofisticación, ha sido detectada por SpiderLabs de Trustware. Según la empresa, los ataques han estado ocurriendo desde marzo de este año.
Los atacantes dirigen sus ataques hacia bancos con escasas medidas de seguridad. En un informe disponible en el sitio de SpiderLabs (requiere registro), la empresa señala que los ataques no son obra de hackers solitarios, sino de un bien organizado sindicato internacional de delincuentes.
La empresa investigó robos en cinco bancos de Europa del Este. En cada incursión, los atacantes obtuvieron botines de entre US$ 3 millones y US$ 10 millones. Los bancos afectados han sumado pérdidas superiores a los US$ 40 millones.
La empresa recalca que las estimaciones corresponden únicamente a los bancos que la han contactado solicitando asistencia, por lo que otros potenciales afectados podrían estar guardando silencio, o quizás ni siquiera hayan detectado el fraude.
El modus operandi
Según Trustwave, cada ataque se desarrolló en múltiples etapas. La primera de ellas consistía en reclutar a individuos conocidos en jerga de hackers como “mulas”; es decir, personas que acudieron a los bancos para abrir cuentas bajo identidades falsas.
Los hackers procedieron luego a infectar las computadoras de los empleados del banco, moviéndose lateralmente dentro de la red del banco e identificando las estaciones de trabajo que tenían acceso a los sistemas internos de la entidad. Cuando estimaron necesario, los hackers incluso tuvieron la capacidad de comprometer a los proveedores del banco, encargados de proporcionar soluciones de administración de tarjetas de pago.
Al obtener acceso completo a todos los sistemas necesarios para perpetrar su fraude, los hackers coordinaron ataques a gran escala con las llamadas “mulas de retiro en efectivo” en uno o varios días.
Durante la noche, los hackers modificaron el límite de sobregiro en las tarjetas de débito creadas fraudulentamente, permitiendo que las “mulas” retirasen dinero de cajeros automáticos con límites más altos.
Cuando pudieron, los piratas informáticos también desactivaron los sistemas de detección de fraudes de tarjetas del banco. En caso contrario, enviaron a las “mulas” a países vecinos, retrasando la posibilidad de que el banco emisor detectara las transacciones fraudulentas.
Trustwave señala que los retiros de dinero ocurrieron minutos después de que el límite de sobregiro había sido modificado, mostrando un alto nivel de coordinación entre los diferentes integrantes de la pandilla cibernética y las mulas operativas.
Una vez retirado el dinero, los hackers iniciaron ataques con malware que destruiría el MBR (registro de arranque principal) de las computadoras infectadas, dañando su sistema de almacenamiento y obstaculizando así la investigación subsiguiente.
Los ataques son detallados en el informe de Trustwave SpiderLabs denominado “Post-Soviet Bank Heists: A Hybrid Cybercrime Study”, disponible para descarga desde su sitio (requiere registro). También sacamos los gráficos del informe en la infografía a continuación.