Enviado por fredyavila2 el Jue, 14/06/2018 - 12:09
Bank

Dentro de las tácticas más comunes que utilizan los ciberdelincuentes es desplegar un ataque de malware destructivo para así lograr distraer a los encargados de defender la infraestructura tecnológica de la organización y un ataque por separado se dirige hacia el verdadero objetivo de los atacantes. Este tipo de ataque "cortina de humo" se utilizó recientemente contra Banco de Chile, el segundo banco más grande del país, que el 24 de mayo perdió unos 10 millones de dólares debido a transferencias fraudulentas de SWIFT. El robo ocurrió mientras el banco estaba tratando con cientos de estaciones de trabajo y servidores que súbitamente dejaron de funcionar.

El ataque del Banco de Chile contribuye al incremento de ataques en contra de bancos en América Latina. El mes pasado, cinco bancos en México sufrieron ataques contra los pagos electrónicos interbancarios, conocidos como SPEI, que se utilizan para transferencias interbancarias nacionales (ver México investiga supuestos ciberataques contra 5 bancos).

Los investigadores de la firma de inteligencia de riesgo empresarial Flashpoint manifiestan que han analizado el malware utilizado para la fase de distracción en el ataque contra el Banco de Chile. El malware en cuestión es MBR Killer, un componente de Buhtrap, un programa de malware que atacó por primera vez a los bancos rusos en 2015.

Buhtrap es un acrónimo de la palabra rusa "buhfalter" que significa contador y trampa, según la firma antivirus ESET.

MBR Killer altera el registro de inicio maestro, el primer sector de un disco duro al que la computadora llama antes de cargar el sistema operativo. Este componente hace que el sistema operativo local y el MBR sean ilegibles, dice Flashpoint.

mbr killer

Los cuatro pasos de la destrucción de MBR Killer (Fuente: Trend Micro)

Flashpoint dice que los ataques en México y Chile no parecen estar conectados. Tampoco hay pistas confiables para la atribución. El código fuente de Buhtrap se filtró a principios de 2016, escribió Group-IB en un informe de marzo de 2016 sobre el grupo y el malware. Eso significa que cualquier grupo podría estar usándolo ahora para causar estragos.

El 6 de junio, Trend Micro realizó una publicación que describía esencialmente el mismo malware, diciendo que afectó a un banco en América Latina en mayo. Pero no identificó a la víctima como Banco de Chile.

Banco de Chile dijo en un comunicado el 28 de mayo que un virus golpeó las estaciones de trabajo de los bancos, afectando a los cajeros y obstaculizando los servicios de las sucursales y la banca telefónica. Las estaciones de trabajo se desconectaron, lo que afectó las operaciones, pero fue necesario para evitar que el malware se propague más.

El banco no dio a conocer una cifra específica en su declaración. Pero dijo que los pasos defensivos que tomó mientras se desarrollaba el ataque protegieron los fondos de los clientes y los registros de transacciones. Según medios chilenos, un funcionario del Banco de Chile dice que el ataque le costó al banco $ 10 millones.

El gerente general del Banco de Chile, Eduaro Ebensperger Orrego, dijo a la tercera que finalmente se determinó que los ataques iniciales probablemente serían una distracción. El objetivo real era el sistema SWIFT del banco, que transmite mensajes para coordinar transferencias internacionales.

"Encontramos algunas transacciones extrañas en el sistema SWIFT", le dice Ebensperger a la tercera. "Allí nos dimos cuenta de que el virus no era necesariamente el problema subyacente".

El banco pudo detener algunas de las transacciones fraudulentas, dice Ebensperger. Banco de Chile también presentó una queja en Hong Kong, donde se enviaron algunos de los fondos, le dice a la tercera. También según informa el medio chileno, el banco usa ampliamente Microsoft Windows. Microsoft y Dreamlab, una consultora suiza, fueron llamadas para realizar análisis forenses.

Fortalecimiento de las defensas

Chile ha estado buscando mejorar su posición de seguridad en el sector bancario. El regulador financiero, La Superintendencia de Bancos e Instituciones Financieras de Chile, o SBIF, realizó una presentación ante la Comisión de Economía del Senado de Chile el 6 de junio que abordó el ataque del Banco de Chile.

El superintendente Marco Farren les dijo a los legisladores que el incidente del Banco de Chile demuestra una oportunidad para mejorar la ciberseguridad. En enero, la SBIF emitió un estándar de ciberseguridad que refuerza la visión del sistema financiero como infraestructura crítica.

Los objetivos a mediano plazo de la SBIF son la evaluación in situ de los bancos y sus enfoques de riesgo. El regulador también planea crear un marco institucional para la gestión del riesgo.

SWIFT: objetivo atractivo

SWIFT, abreviación de The Society for Worldwide Interbank Financial Telecommunication, es una cooperativa con sede en Bruselas. Unos 11,000 bancos en todo el mundo usan el sistema de mensajería del grupo, convirtiéndolo en un objetivo atractivo y generalizado.

Los atacantes no han explotado vulnerabilidades en los sistemas SWIFT, sino que buscaba explotar los controles débiles en los bancos, comprometiendo cuentas clave para los funcionarios del banco para crear transferencias fraudulentas. A principios de 2016, los atacantes intentaron transferir $ 951 millones de la cuenta de la Reserva Federal de Nueva York del Banco Bangladesh. Errores simples impidieron que se transfiriera la cantidad total, pero se robaron $ 81 millones. Una porción se recuperó más tarde, y Corea del Norte ha sido culpada de robo (ver Bangladesh Bank termina la investigación de FireEye en Heist). Desde ese ataque impresionante, los bancos de todo el mundo han visto intentos de socavar sus infraestructuras SWIFT. Hay que reconocer que SWIFT ha intentado crear conciencia y mejorar la seguridad, triplicando su equipo de seguridad y lanzando un centro de operaciones las 24 horas del día, los 7 días de la semana (ver Security Investments Consume SWIFT's Profits).

 

Si te ha gustado el artículo, síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila