Enviado por fredyavila2 el Lun, 10/12/2018 - 08:58
bank

Piratas informáticos de Europa del este han estado conectando hardware de bajo costo a redes de área local de bancos para ayudar a perpetrar robos por millones de dólares.

La campaña de ataque, apodada DarkVishnya (cereza oscura), tiene como propósito por lo menos ocho bancos de Europa del Este, dice Sergey Golovanov, un investigador principal de seguridad de la empresa de seguridad Kaspersky Lab, con sede en Moscú, el cual fue llamado para investigar los robos. "Cada ataque tenía un punto común: un dispositivo desconocido conectado directamente a la red local de la compañía", dice en una publicación del blog. "En algunos casos, era la oficina central, en otros una oficina regional, a veces ubicada en otro país".

Golovanov dice que la campaña de ataque comenzó en 2017 y ha continuado a lo largo de este año. En todos los ataques, los atacantes han hecho uso de uno de estos tipos de dispositivos informáticos:

• Portátiles de bajo costo: computadoras portátiles y netbooks de bajo costo

• Raspberry Pi: una computadora del tamaño de una tarjeta de crédito que cuesta $ 35

• Bash Bunny: una memoria USB de $ 100 diseñada para pentester y administradores de sistemas que el fabricante Hak5 denomina como "una plataforma de automatización y ataque USB multifunción simple y potente"

Golovanov dice que la elección del dispositivo parecía estar ligada a la capacidad de un atacante y sin duda, simplemente a las preferencias. Una vez conectados a una LAN específica, los atacantes obtuvieron acceso remoto mediante el uso de un módem LTE, GPRS o 3G integrado o conectado mediante USB.

Tres etapas de ataque

Los ataques exitosos progresaron a través de tres etapas, esto según los informes de Kaspersky Lab:

1. Acceso físico: los atacantes, que posiblemente se hacían pasar por mensajeros o buscadores de empleo, entraron a las instalaciones y buscaron un lugar para conectar su dispositivo, a menudo en una sala de reuniones. "Donde fue posible, el dispositivo estaba oculto o mezclado con el entorno, para no despertar sospechas", dice Golovanov.

2. Reconocimiento remoto: con el dispositivo en su lugar, los atacantes se conectarán de forma remota al dispositivo oculto y comenzarán a realizar el reconocimiento, así como el rastreo por la fuerza bruta de los datos de inicio de sesión, para intentar identificar las estaciones de trabajo o los servidores involucrados en el manejo de los pagos. Para eludir las restricciones internas del firewall, "plantaron códigos de shell con servidores TCP locales", dice Golovanov. "Si el cortafuegos bloqueaba el acceso de un segmento de la red a otro, pero permitía una conexión inversa, los atacantes utilizaban una carga útil diferente para construir túneles".

3. Inicio de sesión remoto: una vez que los atacantes identificaron un sistema utilizado para realizar pagos, trabajaron para obtener un acceso remoto persistente al sistema y luego ejecutaron remotamente los archivos ejecutables.

msfvenom

Ajustes de configuración para msfvenom (Fuente: Seguridad ofensiva)

Golovanov dice que el Modus Operandi de los atacantes fue instalar remotamente msfvenom, que es un generador de carga útil independiente para Metasploit, un kit de herramientas de prueba de penetración de código abierto.

"Debido a que los piratas informáticos utilizaron ataques sin archivos y PowerShell, pudieron evitar las tecnologías de listas blancas y las políticas de dominio", dice Golovanov. "Si se encontraron con una lista blanca que no se pudo omitir, o se bloqueó PowerShell en la computadora de destino, los ciberdelincuentes utilizaron impacket, y winexesvc.exe o psexec.exe, para ejecutar los archivos ejecutables de forma remota", agrega. Todas estas herramientas pueden proporcionar a los administradores, o en este caso, atacantes, la capacidad de instalar y ejecutar archivos de forma remota.

El hardware malicioso evoluciona

Conectar dispositivos de bajo costo en redes objetivo para robar dinero no es nuevo, hablando conceptualmente. Un ataque probado contra establecimientos minoristas, restaurantes y hoteles que usan dispositivos de punto de venta para leer las tarjetas de pago de los clientes implica que un equipo de dos hombres ingrese a un edificio. Un atacante distrae a un empleado mientras que el otro intercambia un lector de tarjetas de pago legítimo con una versión similar que tiene un skimmer instalado. El skimmer luego comienza a guardar una copia de todas las tarjetas que se pasan, para su posterior recuperación, potencialmente remota, por parte de los atacantes. Los investigadores de seguridad también han estado demostrando cómo las pandillas del crimen pueden usar el hardware de los aficionados. Por ejemplo, en la conferencia Black Hat Europe 2014 en Ámsterdam, dos investigadores de seguridad demostraron cómo pudieron programar una Raspberry Pi y conectarlo al puerto de un cajero automático para evitar los sistemas propios del cajero automático e instruir al dispensador de efectivo de la máquina para que escupa todo su dinero.

La campaña DarkVishnya muestra que a medida que proliferan los dispositivos informáticos pequeños, potentes y relativamente económicos, y que cuestan lo suficiente como para que puedan ser tratados como desechables, los piratas informáticos encontrarán nuevas formas innovadoras de usarlos.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila