Kaspersky Lab acaba de publicar los resultados de una investigación realizada durante más de un año sobre la actividad de Lazarus, el famoso grupo de ciberdelincuentes que supuestamente está detrás del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016. Este robo está considerado uno de los mayores cibergolpes realizados hasta el momento y las investigaciones posteriores de diferentes empresas de seguridad TI, entre ellas Kaspersky Lab, atribuyen la autoría a Lazarus, un famoso grupo de ciberespionaje y cibersabotaje responsable de toda una serie de repetitivos y devastadores ataques, conocido desde 2009 por sus ataques a empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países.

Aunque después del ataque en Bangladesh el grupo permaneció en silencio, Lazarus siguió en activo, preparando nuevas operaciones para robar fondos de otros bancos con lo que meses después consiguieron introducirse en una institución financiera del sudeste asiático. Sin embargo, no fueron capaces de llevar a cabo su ataque ya que los productos de Kaspersky Lab, instalados en la entidad financiera, detectaron el ataque y lo detuvieron, por lo que estuvieron inactivos los meses posteriores.

El ser humano sigue siendo el eslabón más débil

Kaspersky-Lab-Lazarus-Logo-770x433

Este proceso se repitió en Europa, donde de nuevo fueron neutralizados gracias al software de detección de Kaspersky Lab, así como por el trabajo de los equipos de respuesta rápida, análisis forense e ingeniería reversa de compañías de investigación. Gracias al estudio de estos ataques, los analistas de Kaspersky Lab han sido capaces de reconstruir el modus operandi del grupo:

Los ciberdelincuentes atacan de manera sencilla el sistema de una entidad finenciera qu comprometen su sistema, bien remotamente a través de un código de acceso vulnerable o mediante un ataque wateringhole aprovechándose de un exploit. Una vez que se visita esa esta web, el ordenador de la víctima (el empleado de banco) recibe el malware que agrega componentes adicionales. Es entonces cuando el grupo se mueve a otros hosts del banco y despliega backdoors permanentes, permitiendo que el malware vaya y venga como quiera.

Una vez conseguido este paso, el grupo trabaja durante días y semanas en conocer la red y a identificar aquellos recursos de valor. Y, tras encontrarlo, despliegan un malware capaz de evitar las medidas de seguridad del software financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.

los ciberdelincuentes han podido estar operando durante meses.

Los ataques tuvieron lugar durante varias semanas. Sin embargo, los ciberdelincuentes han podido estar operando durante meses. Durante el análisis del incidente en el sudeste asiático, los expertos descubrieron que los hackers habían comprometido la red del banco al menos durante siete meses antes del momento en el que intervino el equipo de respuestas ante incidentes. De hecho, el grupo ya había conseguido acceder a la red de ese banco antes de que se produjera el incidente de Bangladesh.

Según los registros de Kaspersky Lab, desde diciembre de 2015 han ido apareciendo ejemplos de malware relacionados con las actividades del grupo Lazarus en instituciones financieras, casinos y desarrolladores de software para compañías de inversión de Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malasia, Polonia, Irak, Etiopía, Kenia, Nigeria, Uruguay, Gabón, Tailandia y algún otro país. Los últimos ejemplos de los que Kaspersky tiene conocimiento han sido detectados en marzo de 2017, lo que evidencia que los cibercriminales no parecen tener intención de parar.

Aunque los ciberatacantes fueron cuidadosos en borrar las huellas más sensibles, al menos uno de los servidores afectados en un intento de robo contenía un importante elemento de investigación que los cibercriminales olvidaron. El servidor se había configurado como centro de comando y control de malware y las primeras conexiones inieron desde unos pocos VPN/servidores proxy indicando que eran pruebas para el servidor C&C. Sin embargo, había también una conexión corta en ese mismo día que procedía de una extraña dirección IP en Corea del Norte. Este es un detalle que puede indicar un posible origen del grupo Lazarus, o al menos de algunos de sus miembros. Sin embargo, todavía no es prueba suficiente para poder determinarlo, pues la conexión podría haber sido una operación de despiste.

“Estamos seguros de que les vamos a ver de nuevo en marcha. Ataques como los que ha realizado el grupo Lazarus demuestran como pequeños problemas de configuración pueden terminar en brechas de seguridad importantes, con resultados para las empresas de cientos de millones de dólares en pérdidas. Confiamos en que los responsables de bancos, casinos y compañías de inversión por todo el mundo, sean conscientes del peligro de Lazarus”, comenta Vitaly Kamluk, responsable del equipo de análisis e investigación global de Kaspersky Lab en APAC.

El grupo Lazarus no deja de invertir en nuevas variantes de su malware. Durante meses han intentado crear un conjunto de herramientas que fueran invisibles a las soluciones de seguridad. Cada vez que lo han hecho, los especialistas de Kaspersky Lab han podido identificar ciertas características sobre cómo se había creado su código, permitiendo a realizar un seguimiento de nuevas variantes. En este momento, los ciberatacantes se mantienen relativamente silenciosos, lo que probablemente quiere decir que están trabajando en rearmarse.

malware

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario