La reciente detención del jefe técnico del grupo Carbanak, dedicado a la sustracción de dinero en efectivo de cajeros automáticos, ha puesto en la luz pública este tipo de ataques informáticos.
¿Quién no ha visto Terminator 2, con esa mítica escena en la que un joven John Connor hackea un cajero y sustrae dinero en efectivo? como siempre, la realidad supera la ficción y este tipo de ataques llevan años produciéndose. Se los denomina "jackpotting" (en inglés jackpot es el premio en efectivo que se obtiene de una máquina tragaperras).
El jackpotting se ha puesto recientemete en el punto de mira de los medios de comunicación a raíz de la detención, nada más y nada menos que en Alicante, del ucraniano Denis K., líder técnico de un grupo de criminales dedicado a robar bancos. Y es que si antes se robaban bancos a punta de pistola, ahora se roban a clic de ratón.
El grupo, que se valía de varios programas de creación propia (Carbanak, Cobalt, Anunak...) para penetrar en los sistemas informáticos de bancos de todo el mundo y llevar a cabo extracciones programadas de dinero en cajeros, logró robar más de 1.000 millones de dólares.
Todo esto ha sido posible porque, según Kaspersky, "el 95% de todos los cajeros automáticos que hay en el mundo aún usan Windows XP", entre otros problemas de seguridad.
Para realizar los golpes, se valían del siguiente modus operandi:
Denis K. creó varios sistemas de spear phising para acceder a las redes internas de los bancos, además del sistema de acceso remoto a ordenadores Cobalt Strike. Según S21sec, los ataques a entidades bancarias funcionan de la siguiente manera:
- Los delincuentes obtienen acceso a la red interna de la entidad financiera a través de mails de spear phishing que incluyen archivos adjuntos maliciosos.
- Una vez consiguen entrar en la red y utilizando técnicas de escalado de privilegios que explotan vulnerabilidades del controlador de dominio y posterior movimiento lateral, los cibercriminales comprometen sistemas críticos con acceso a la infraestructura de los cajeros.
- Los atacantes crean una red de sistemas infectados que se controla desde un panel de Command & Control operado por la banda y que es indetectable para la entidad financiera.
- El operador se conecta a los cajeros mediante una conexión vía escritorio remoto y los infecta inyectando el malware. Una vez se ha conseguido esto, todo el ecosistema está preparado para lanzar el ataque.
- El malware utiliza la capa XFS para tomar, de manera ilegítima, el control completo del dispensador del cajero y de este modo llevar a cabo la sustracción.
- El ataque está en todo momento controlado por el operador de la banda, que se encarga remotamente de lanzar órdenes de retirada de efectivo e indica a las mulas el momento en el que pueden recoger ese dinero. Se genera un registro de todas estas actividades y se recopilan para asegurarse de que las mulas no operan de forma individual.
- Por último, una vez se perpetra el ataque, el operador elimina toda prueba de forma remota evitando así que se pueda recuperar ninguna evidencia del mismo.
Una vez controlados los sistemas de administración de los cajeros, el grupo mandaba a mulas a cajeros concretos en horas concretas - mula es la forma de llamar a una persona que espera para recoger los billetes - a recoger los billetes escupidos. Luego, estas mulas cambiaban el efectivo por bitcoin y lo enviaban a las carteras de los cerebros de la operación.
La actividad era lucrativa; el detenido poseía dos coches de alta gama, un chalé, un piso valorado en un millón de euros y joyas por valor de 500.000 euros y llegó a disponer de 15.000 bitcoins. Y fue precisamente por su wallet de bitcoin por donde la policía pudo seguirle el rastro y acabar deteniéndole.
El ministro del Interior de España, Juan Ignacio Zoido, acompañado de los responsables policiales de la Comisaría General de Policía Judicial, la unidad de ciberdelincuencia, Europol y el FBI, ha dado cuenta de esta operación.
Y ahora yo me pregunto: si se puede rastrear a alguien a través de su wallet de bitcoin hasta dar con él físicamente, ¿tan difícil es rastrear a un tal M. Rajoy?
Fuentes:
https://www.kaspersky.es/blog/el-mayor-atraco-del-siglo-los-hackers-roban-mil-millones-de-dolares... https://www.elperiodico.com/es/sociedad/20180326/detenido-en-alicante-el-ciberatracador-que-robo...
Entradas
0 comentarios:
Publicar un comentario