@GroupIB_GIB MoneyTaker concretó el robo de un millón de dólares
Group-IB, empresa líder mundial en la prevención de delitos de alta tecnología y la prestación de soluciones de inteligencia de amenazas de alta fidelidad y antifraude, está llevando a cabo una respuesta a incidentes en un ataque al PIR Bank de Rusia), que resultó en el robo de 1 millón de dólares estadounidenses, realizado por el grupo de piratería de MoneyTaker.
Los fondos fueron robados el 3 de julio a través del Cliente de estación de trabajo automatizada del Banco Central ruso (un sistema de transferencia de fondos interbancario similar a SWIFT), transferidos a 17 cuentas en los principales bancos rusos y cobrados.
Después de eso, los delincuentes trataron de asegurar la persistencia en la red del banco en preparación para los ataques posteriores, pero fueron detectados y eliminados por el grupo de respuesta a incidentes del Group-IB.
Según el periódico Kommersant, el PIR Bank perdió alrededor de $ 920,000 (que es una estimación conservadora) de su cuenta de corresponsalía en el Banco de Rusia.
PIR Bank oficialmente confirmó el ataque inicialmente, agregando en ese momento que no podían determinar la cantidad exacta de las pérdidas.
El personal de PIR logró retrasar la retirada de algunos fondos robados, pero está claro que la mayoría están perdidos.
Para responder al incidente, el personal del Banco PIR contrató al Group-IB.
"Durante el incidente, los especialistas del Group-IB establecieron la fuente del ataque, construyeron una cadena de eventos y aislaron el problema tan pronto como fue posible. Por el momento, el banco está funcionando normalmente, todas las recomendaciones del Group-IB se aplican y se aplicarán a las operaciones del banco en el futuro con el fin de evitar nuevos incidentes similares ", dijo Olga Kolosova, presidenta del Consejo de Administración de PIR Bank LLC.
Después de estudiar estaciones de trabajo y servidores infectados en la institución financiera, los especialistas forenses del Group-IB recopilaron evidencia digital irrefutable que implicaba a MoneyTakeren el robo.
En particular, los expertos descubrieron herramientas y técnicas específicas que MoneyTaker había utilizado anteriormente para atacar a los bancos, así como a las direcciones IP de sus servidores de C & C.
Las recomendaciones para la prevención de ataques similares se han distribuido a las instituciones financieras que son clientes y socios del Group-IB, incluido el Banco Central de Rusia.
MoneyTaker es un grupo criminal especializado en ataques dirigidos contra instituciones financieras, que fue investigado por expertos del Group-IB en diciembre de 2017 en su informe analítico llamado MoneyTaker: 1.5 años de operaciones silenciosas.
Estos hackers se centran en el procesamiento de tarjetas y en los sistemas de transferencias interbancarias (AWS CBR y SWIFT).
¿Qué pasó en PIR Bank?
A partir de la acción del grupo respuesta de incidentes, Group-IB se confirmó que el ataque al PIR Bank comenzó a fines de mayo de 2018.
El punto de entrada era un router comprometido utilizado por una de las sucursales regionales del banco. El enrutador tenía túneles que permitían a los atacantes obtener acceso directo a la red local del banco. Esta técnica es una característica de MoneyTaker.
Este esquema ya ha sido utilizado por este grupo al menos tres veces al atacar a los bancos con redes de sucursales regionales.
Para establecer la persistencia en los sistemas de los bancos y automatizar algunas etapas de su ataque, el grupo MoneyTaker usa tradicionalmente los scripts de PowerShell.
Esta técnica fue analizada en detalle por los expertos del Group-IB en su informe de diciembre.
Cuando los delincuentes piratearon la red principal del banco, lograron obtener acceso a AWS CBR (cliente de la estación de trabajo automatizada del Banco Central de Rusia), generar órdenes de pago y enviar dinero en varios tramos a cuentas preparadas de antemano.
En la noche del 4 de julio, cuando los empleados del banco encontraron transacciones no autorizadas con grandes sumas, pidieron al regulador que bloqueara las claves de firma digital de AWS CBR, pero no pudieron detener las transferencias financieras a tiempo.
La mayor parte del dinero robado fue transferido a las tarjetas de los 17 bancos más grandes en el mismo día e inmediatamente cobrado por mulas de dinero involucradas en la etapa final de retiro de dinero de los cajeros automáticos.
Simultáneamente, los atacantes utilizaron una técnica característica de MoneyTaker para cubrir sus huellas en el sistema: borraron los registros del sistema operativo en muchas computadoras, lo que estaba destinado a obstaculizar la respuesta al incidente y su posterior investigación.
Además, los delincuentes abandonaron algunos de los denominados " reverse shells ", programas que conectaban los servidores de los hackers de la red del banco y esperaban a que nuevos comandos realizaran nuevos ataques y obtuvieran acceso a la red.
Durante el proceso de respuesta al incidente, esto fue detectado por los empleados del Group-IB y eliminado por los administradores del sistema del banco.
"Este no es el primer ataque exitoso contra un banco ruso con retiro de dinero desde principios de 2018", dice Valeriy Baulin, Jefe del Laboratorio de Análisis Forense Digital de Group-IB, "Conocemos al menos tres incidentes similares, pero no podemos revelar ningún detalle antes nuestras investigaciones están completas.
En cuanto a los planes de retirada, cada grupo especializado en ataques dirigidos, Cobalt, Silence y MoneyTaker (estos han sido los grupos más activos en 2018), tienen su propio esquema en función de los montos y los escenarios de cobro.
Debemos entender que los ataques a AWS CBR son difíciles de implementar y no se llevan a cabo con mucha frecuencia, porque muchos hackers simplemente no pueden 'trabajar en computadoras con AWS CBR' con éxito.
Un incidente de 2016, cuando los hackers de МoneyTaker retiró unos $ 2 millones utilizando su propio programa homónimo, sigue siendo uno de los mayores ataques de este tipo.
¿Quiénes son MoneyTaker y por qué es tan difícil atraparlos?
El primer ataque de MoneyTaker se registró en la primavera de 2016, cuando robaron dinero de un banco de EE. UU.
Después de obtener acceso al sistema de procesamiento de tarjetas (sistema de procesamiento STAR de FirstData).
Después de eso, los piratas informáticos no realizaron ataques durante casi 4 meses y solo atacaron bancos en Rusia en septiembre de 2016.
En estos casos, su objetivo era AWS CBR, el sistema de transferencia interbancario de Rusia.
En general, en 2016, Group-IB registró 10 ataques de MoneyTaker contra organizaciones en los EE. UU., El Reino Unido y Rusia.
Desde 2017, la geografía de sus ataques se ha reducido a Rusia y los EE. UU. En 2018, Group-IB rastreó dos ataques de MoneyTaker en Rusia.
MoneyTaker tiene su propio conjunto de TTP específicos. Los piratas informáticos intentan pasar desapercibidos, utilizan una infraestructura de "única vez" y un software "sin archivos" y ocultan cuidadosamente las huellas de su presencia.
Esto implica usos específicos de los marcos Metasploit y PowerShell Empire. Es evidente que MoneyTaker es una de las principales amenazas para los bancos en todo el mundo. En relación con el incidente en PIR Bank, Group-IB dio recomendaciones a los departamentos de seguridad de las instituciones financieras sobre cómo minimizar el peligro presentado por MoneyTaker.
Dado que el punto de entrada en la mayoría de los ataques exitosos realizados por este grupo fueron los enrutadores, primero es necesario verificar si tiene el firmware actualizado, probar los sistemas de vulnerabilidades de fuerza bruta y detectar cambios en la configuración del enrutador de manera oportuna.
Según el informe del Group-IB publicado en diciembre, en ese momento, MoneyTaker había realizado 16 ataques en los EE. UU., 5 ataques contra bancos rusos y un ataque contra una empresa de software bancario en el Reino Unido.
El daño promedio causado por un ataque en los EE. UU. Ascendió a $ 500,000.
En Rusia, la cantidad promedio de dinero retirado es de 1,2 millones de USD por incidente.
Además del dinero, los delincuentes roban documentos sobre los sistemas de pago interbancarios necesarios para prepararse para los ataques posteriores.
La respuesta al incidente y las investigaciones continúan.
About Group-IB
Group-IB is one of the global leaders in preventing and investigating high-tech crimes and online fraud. The company is recognized by Gartner as a threat intelligence vendor with strong cyber security focus and the ability to provide leading insight to the Eastern European region and recommended by the Organization for Security and Co-operation in Europe (OSCE). The Company is a permanent member of the World Economic Forum. Group-IB's experience has been fused into an eco-system of highly sophisticated software and hardware solutions to monitor, identify and prevent cyber threats. Group-IB runs the largest computer forensics laboratory in Eastern Europe, as well as an official computer emergency response team CERT-GIB. In 2017, the company was recognized by IDC as a leading player on the Russian threat Intelligence services market.
For more details see:
No hay comentarios.