Cómo ayudamos a atrapar una de las bandas más peligrosas de delincuentes informáticos.
A principios de junio de este año, la policía rusa detuvo a los presuntos miembros de un grupo criminal sospechoso de haber robado casi tres mil millones de rublos. Según los datos de la policía, los integrantes del grupo Lurk robaban sistemáticamente grandes sumas de las cuentas de organizaciones comerciales, entre ellas bancos, mediante el uso de malware. Durante los últimos seis años, la División de Investigación de Incidentes de Kaspersky Lab ha venido estudiando las actividades de este grupo, y para la primavera de 2016 ya teníamos un buen conocimiento del mismo. Estamos satisfechos de que haya sido de utilidad para los órganos de seguridad, ayudado a detener a los sospechosos y -lo más importante- interrumpido el robo de dinero que efectuaba la agrupación. En lo que a nosotros se refiere, esta investigación nos proporcionó una gran experiencia, mayor que ninguno de los otros casos que investigamos, y en el presente artículo intentaremos compartirla con otros expertos: en primer lugar, los expertos en el campo de la seguridad de la información en empresas e instituciones financieras. Esas mismas organizaciones que son cada vez más el blanco de los ataques cibernéticos.
Inicialmente Lurk era un troyano sin nombre, del que supimos por primera vez en 2011. Nos enteramos de una serie de incidentes en los que delincuentes desconocidos robaron grandes sumas de dinero a los clientes de varios bancos rusos. Para robar el dinero, los delincuentes usaban un malware encubierto, que de forma automática interactuaba con el software de banca remota y cambiaba la información de las órdenes de pago que expedía el contador de la organización atacada, o generaba por su propia cuenta estas órdenes.
En el presente, en 2016, suena bastante extraño leer sobre software bancario que no requiera ningún tipo de autenticación complementaria, pero entonces las cosas eran así: para comenzar a robar el dinero, en la mayoría de los casos bastaba que los atacantes infectasen un equipo que tuviese instalado software para trabajar con sistemas de banca remota. En 2011, el sistema bancario de Rusia, y el de muchos otros países, aún no estaba listo para este tipo de ataques, y los atacantes se aprovechaban de esta situación.
En ese entonces tomamos parte en la investigación de varios incidentes, en los que estaba involucrado un malware sin nombre. Cuando se lo entregamos a nuestros analistas del laboratorio antivirus, ellos crearon una signatura para ver si se habían registrado infecciones y descubrimos una extraña peculiaridad: nuestro sistema interno de denominación de software malicioso, afirmaba que estábamos frente a un troyano común y corriente, que hacía muchas cosas (enviar spam, por ejemplo), pero que no robaba dinero.
En la práctica diaria de Kaspersky Lab suele suceder que un programa con un conjunto de funciones determinadas se detecta por error como otro completamente diferente, pero en este caso en particular quedó claro que se lo detectaba con una signatura “común” porque no hacía nada que pudiera dar razones para incluirlo en un grupo específico, por ejemplo los troyanos bancarios.
Pero los hechos son los hechos: el malware se usaba para robar dinero.
Por esta razón, decidimos echar un vistazo más de cerca al malware, pero los primeros intentos de nuestros analistas por entender cómo funcionaba fueron infructuosos. Al ponerlo en marcha en una máquina virtual o en una real, actuaba de la misma manera: no hacía nada. Y esta fue la razón por la que le dimos su nombre: Lurk (del inglés “estar oculto, al acecho”).
Pronto tuvimos la oportunidad de participar en la investigación de otro incidente que involucraba a Lurk. Esta vez logramos analizar la imagen de un equipo atacado, en el que no solo encontramos al malware, sino también un archivo .dll que podría interactuar con el archivo ejecutable principal. Fue así que por vez primera obtuvimos pruebas de la estructura modular de Lurk.
Varios años después, cuando ya sabíamos mucho sobre este malware, descubrimos que Lurk tenía un juego completo de módulos, pero que habían ido apareciendo posteriormente. Todo parece indicar que entonces, en 2011, Lurk estaba en su etapa inicial de desarrollo y que se las arreglaba con dos componentes.
El descubrimiento de un archivo adicional echó muy pocas luces sobre la naturaleza de Lurk. Quedó claro que se trataba de un programa troyano dirigido a los sistemas de banca remota y que se lo había observado en un número relativamente pequeño de incidentes. En 2011 los ataques contra estos sistemas solo estaban empezando a tomar impulso, pero ya se sabía de varios otros programas similares: la versión más temprana había sido descubierta en 2006 y después empezaron a aparecer nuevos programas maliciosos con un juego similar de funciones. Basta recordar programas como Zeus, SpyEye, Carberp y otros. En esta lista Lurk era solo un malware peligroso.
Era extremadamente difícil hacer que Lurk funcionara en condiciones de laboratorio, sus nuevas versiones aparecían muy rara vez, y teníamos noticias de incidentes causados por Lurk con poca frecuencia. El conjunto de estos factores hizo que en 2011 decidiéramos posponer el trabajo activo de estudio de este programa y pasar a ocuparnos de tareas más urgentes.
Cambio de líder
Aproximadamente un año después de nuestro primer encuentro con Lurk no habíamos oído nada especial sobre él. Para ser más exactos los incidentes en los que participó este programa malicioso, como se vería después, se desvanecían en una masa de incidentes similares, pero causados por otros programas maliciosos. En mayo de 2011 se publicó en Internet el código fuente del troyano ZeuS, lo que provocó la aparición de muchas otras versiones de este programa, desarrolladas por pequeños grupos de delincuentes. Aparte de ZeuS, existía toda una serie de programas maliciosos financieros.
En Rusia, estaban activos varios grupos relativamente grandes de ciberdelincuentes, que dirigían sus esfuerzos al robo de dinero mediante ataques a sistemas de banca remota, y el más activo en ese momento era Carberp. A finales de marzo de 2012, la policía detuvo a la mayoría de sus miembros, lo que fue un duro golpe para el mundo de la ciberdelincuencia rusa, ya que la banda había logrado robar cientos de millones de rublos en sólo unos pocos años de actividad y se la consideraba casi un “líder” entre los cibercriminales. Sin embargo, en el momento de la detención Carberp ya no era un jugador importante.
Unas semanas antes de su detención, los sitios de varios de los principales medios de comunicación rusos, como la agencia RIA Novosti, el periódico Gazeta.ru y otros, sufrieron ataques del tipo watering hole . Criminales no identificados usaron una vulnerabilidad en el sistema de intercambio de banners publicitarios, para distribuir malware en estos sitios. Los usuarios entraban al sitio, que los remitía a una página con un exploit para Java (que entonces era un software muy popular y lleno de vulnerabilidades) creado por los delincuentes. La explotación exitosa de esta vulnerabilidad hacía que se ejecutara el programa malicioso, cuya función principal era recoger información sobre el equipo atacado, transferirla a un servidor malicioso, y -en algunos casos- recibir del servidor una carga útil adicional.
En el plano técnico, el malware era inusual: a diferencia de la mayoría de otros programas maliciosos, éste no dejaba ningún rastro en el disco duro del sistema atacado y funcionaba sólo en la memoria operativa. Este mecanismo de funcionamiento es poco usado en el malware, principalmente debido a la “corta esperanza de vida” de tal infección: el malware “vive” en el sistema, mientras no se reinicie el equipo, y después el proceso de infección debe comenzar de nuevo. Pero en el caso de los ataques de 2012 el malware “incorpóreo” oculto no tenía que sentar residencia en el sistema atacado. Porque su primera función era de espionaje. La segunda era la descarga e instalación de malware adicional. Otro detalle interesante es que la descarga del malware solamente se llevaba a cabo en un número muy limitado de casos, solo cuando el equipo atacado representaba interés para los delincuentes.
El análisis del programa malicioso incorpóreo reveló que le interesaban los equipos que tenían instalado el programa de servicios de banca remota de un desarrollador de Rusia. Mucho más tarde averiguamos que el módulo incorpóreo sin nombre era mini, uno de los programas maliciosos que usaba Lurk. Pero entonces todavía no estábamos seguros de que detrás del Lurk que conocíamos desde 2011, y el Lurk que descubrimos en 2012, estaban las mismas personas. Barajábamos dos versiones: o bien Lurk era un programa escrito para su venta y las versiones de 2011 y 2012 eran el resultado del trabajo de dos grupos diferentes que compraron el malware al autor, o la versión de 2012 era el desarrollo de un troyano ya conocido.
Los hechos posteriores demostraron que la segunda versión era la verdadera.
Una guerra invisible contra el software bancario
Pequeña digresión. Los sistemas de servicio de banca remota tienen dos componentes principales: el del banco y el del cliente. La parte del cliente es un pequeño programa que permite al usuario (generalmente un contador) realizar operaciones remotas con las cuentas de la organización. Los desarrolladores de este tipo de software en Rusia se pueden contar con los dedos de una mano y por esto, cualquier organización que usa sistemas de banca remota usa el software de una de estas compañías. El reducido número de variantes era algo que convenía a los grupos de ciberdelincuentes que lanzaban ataques contra los sistemas de banca remota.
En abril de 2013, un poco más de un año después de que descubrimos el módulo “incorpóreo” de Lurk, existían en el underground cibercriminal ruso varias familias de malware especializadas en los ataques contra software bancario. Casi todas actuaban de forma similar: en la etapa de espionaje averiguaban si en el equipo estaba instalado el software bancario necesario, después descargaban módulos adicionales, entre ellos algunos que permiten, de modo automático, crear órdenes de pago no autorizadas, cambiar los detalles en órdenes de pago legales, etc. Tal nivel de automatización es posible porque los delincuentes estudiaron a fondo el mecanismo de funcionamiento del software bancario y ajustaron los módulos de sus programas para cada solución bancaria en concreto.
De la misma exacta manera actuaban las personas que crearon y difundieron Lurk. Ellos simplemente tomaron la parte cliente del software bancario, estudiaron en detalle cómo funciona e introdujeron los cambios correspondientes en su malware, de hecho, crearon un complemento ilegal para el programa legal.
De los canales industriales de intercambio de información supimos que los servicios de seguridad de varios bancos rusos experimentaban una serie de problemas con los programas maliciosos creados específicamente para atacar a un tipo particular de software legal. En ciertas ocasiones, algunos bancos se vieron obligados a lanzar actualizaciones para su software cliente cada semana. Las actualizaciones resolvían algunos de los problemas de seguridad, pero los misteriosos hackers “del otro lado” publicaban con celeridad una nueva versión del malware que evadía la protección creada por los autores de los programas bancarios.
Hay que entender que este tipo de trabajo, la ingeniería reversa de un producto bancario profesional, es una tarea que no está al alcance de un hacker aficionado. Y además es una tarea aburrida y morosa, es decir, para realizarla hace falta más que entusiasmo. Es más bien una tarea para un equipo de especialistas. Pero, ¿quién en su sano juicio va a aceptar un trabajo abiertamente ilegal , y quién puede tener el dinero para la financiación permanente de este tipo de actividades? Al hacernos estas preguntas, al fin de cuentas llegamos a la conclusión de que detrás de las diferentes versiones del software malicioso Lurk estaba un grupo organizado de especialistas en el campo de la seguridad cibernética.
Después del periodo de calma de los años 2011 y 2012, de nuevo empezamos a recibir noticias sobre incidentes con Lurk que provocaron robos de dinero. Gracias a que las organizaciones afectadas nos pidieron ayuda, cada mes recibíamos más información sobre las actividades de Lurk. A finales de 2013, basándonos únicamente en la información obtenida durante el estudio de las imágenes de los discos duros de los equipos atacados y el estudio de datos disponibles en fuentes abiertas, nos hicimos una idea aproximada sobre el grupo de usuarios de Internet que probablemente están relacionados con Lurk.
Pero no podemos decir que haya sido fácil. Las personas que están detrás de Lurk tienen nociones avanzadas sobre los métodos de anonimato en Internet. Usaban activamente el cifrado en sus comunicaciones diarias, datos falsos para el registro de dominios o los servicios de registro anónimo, etc. En otras palabras, no se trataba de tomar en Whois el nombre y apellido y encontrar a los usuarios correspondiente en la red Vkontakte o Facebook, táctica que funcionó con otros grupos de delincuentes cibernéticos menos profesionales, como Koobface. El grupo Lurk no se permitió cometer estos graves errores. Pero a pesar de todo, algunas veces cometían errores que a primera vista eran insignificantes.
Para no dar clases gratuitas de conspiración, no voy a dar ejemplos de estos errores. Pero como resultado de su análisis logramos formarnos una idea más o menos clara: estábamos lidiando con un grupo compuesto por alrededor de 15 personas (en la última etapa de su actividad el número de miembros “permanente” se incrementó a 40). Este equipo garantizaba un “ciclo completo” de desarrollo, entrega y monetización del software malicioso, era una suerte de miniempresa de desarrollo de software. La “compañía” tenía en ese momento dos “productos” clave: el malware Lurk y una enorme botnet de computadoras infectadas por él. El malware tenía su propio equipo de desarrolladores, responsables de la aparición de nuevas funciones, de la búsqueda de maneras de “interactuar” con el sistema de RBS, de la estabilidad de su funcionamiento y otras tareas, así como un equipo de evaluadores que comprobaban el trabajo del programa en diferentes entornos. La red de bots también tenía su propio equipo (administradores, operadores, cargadores y otros cómplices que trabajaban con los bots mediante el panel de administración), que era responsable del funcionamiento de los servidores y los protegía de ser detectados y de que se interceptara su administración.
Para el desarrollo de esta clase de software se necesitaban profesionales. Los líderes del grupo los buscaban en los sitios habituales de reclutamiento de personal para que trabajasen de forma remota. En mi artículo sobre la ciberdelincuencia financiera rusa di una descripción de este tipo de vacancias. La ilegalidad de los trabajos propuestos en el trabajo no se mencionaba en el texto de la vacancia y en la etapa de la entrevista, el “empleador” sometía a los candidatos a una pequeña prueba de estabilidad moral, que en esencia consistía en explicarle la verdadera naturaleza del trabajo. Los que pasaban esta prueba, es decir, los que estaban de acuerdo en aceptar el trabajo, sabiendo que no era limpio, pasaban a formar parte del equipo.
El delincuente publicó una vacancia para un especialista en java/flash en un popular sitio web ucraniano de búsqueda de trabajo para especialistas TI. Entre los requisitos están un buen nivel de programación en Java, Flash, conocimientos de las especificaciones JVM/AVM, etc. Por 2500 dólares los organizadores ofrecen trabajo remoto a horario completo.
De esta manera, cada mañana, excepto los fines de semana, en diferentes partes de Rusia y Ucrania algunos individuos se sentaban frente a sus computadoras y empezaban a “trabajar”. Los programadores “perfeccionaban” las funciones de la siguiente versión del software malicioso, los evaluadores realizaban tareas de prueba para comprobar la calidad de la nueva versión. Después, el responsable de la botnet y el responsable del funcionamiento de los módulos y componentes del malware enviaban la nueva versión al servidor de comando, que acto seguido actualizaba automáticamente el software malicioso en los equipos bot. El servidor también estudiaba la información enviada desde los nuevos equipos infectados para averiguar si tenían acceso a sistema de banca remota, qué cantidad de dinero había en las cuentas, etc.
El “extractor”, el hombre responsable de “poner” el dinero robado en tarjetas de crédito de los “drops”, simplemente pulsaba un botón en el panel de administración de la botnet y cientos de miles de rublos se transferían a las cuentas que los responsables del “proyecto drop” ya tenían preparadas. En muchos casos ni siquiera había necesidad de pulsar nada: el software malicioso sustituía los detalles de la orden de pago, creado por el contador, y el dinero iba a parar a las cuentas de los cibercriminales.
Desde estas cuentas el dinero se transfería a las tarjetas de los drops, que retiraban el dinero en efectivo de cajeros automáticos. Luego, a través de grupos de drops de nivel superior, todo el dinero se transfería al cabecilla de la organización, que se ocupaba de distribuirlo: “pagar el sueldo” a los empleados, pagar la cuota a los socios, pagar el costoso mantenimiento de la infraestructura de red, y por supuesto, dejar algo para sus propias necesidades. El ciclo se repetía una y otra vez.
Cada miembro del grupo criminal tiene un determinado conjunto de obligaciones.
En la historia de Lurk, este podría llamarse su “periodo de oro”, porque debido a las deficiencias en la protección de transacciones en los sistemas RBS, robar dinero mediante el equipo infectado del contador de la organización atacada era algo que no requería habilidades especiales, y que a veces hasta se hacía de forma automática. Pero todo llega a su fin.
Fin de la época de los “autogiros”. Llegan tiempos “difíciles”.
Por supuesto, la industria de la banca y la industria de la seguridad informática no se quedaron de brazos cruzados. El crecimiento explosivo de los robos cometidos por Lurk y otras pandillas obligaron a los servicios de seguridad de los bancos y compañías de desarrollo de software bancario a dar una respuesta.
En primer lugar, los productores de software para banca remota retiraron sus productos del acceso público. Antes de la aparición de las bandas de ciberdelincuentes financieros, cualquier usuario podía descargar desde el sitio web una versión de prueba del programa. Los atacantes aprovechaban esto para estudiar los mecanismos de funcionamiento del software bancario y crear programas maliciosos ad-hoc.
Otro gran cambio fue la introducción masiva por parte de los bancos de una tecnología para hacer frente los así llamados “autogiros”, un procedimiento que permitía a los delincuentes usar el malware para modificar los datos de la orden de pago, creada por un contador y robar el dinero de forma automática. Por último, la mayoría de los proveedores de software de banca remota, como resultado de muchos meses de “guerra invisible” contra los delincuentes, llevaron la seguridad de su software a un nivel bastante alto.
Al terminar 2013 y empezar 2014 ya habíamos investigado de cerca las actividades del malware del grupo y acumulado una gran cantidad de conocimiento sobre el mismo. En nuestra granja de bots, finalmente fuimos capaces de poner a funcionar el script malicioso, lo que nos permitió averiguar a tiempo todas las novedades que los atacantes introdujeron en la nueva versión del programa. Nuestro equipo de analistas también avanzó en el estudio de malware. Para ese momento ya teníamos una idea clara de cómo funcionaba, de qué partes constaba y qué módulos opcionales tenía en su arsenal.
Conseguíamos la información sobre todo que produce durante el análisis de incidentes causados por Lurk. Al mismo tiempo, proporcionábamos asesoramiento técnico a las fuerzas del orden, que para entonces ya estaba investigando las actividades de esta banda.
Los criminales cibernéticos hicieron intentos de contrarrestar los cambios que ocurrían en el campo bancario y de seguridad informática. Por ejemplo, después de que los proveedores de software bancario dejaron de poner sus programas a disposición del público, los miembros del grupo delictivo registraron una empresa pantalla con único fin de recibir la versión actualizada del software para los servicios de banca a distancia.
Los robos se hicieron menos masivos, debido a las mejoras introducidas en la seguridad del software bancario. El “autogiro” funcionaba con cada vez menor frecuencia, porque el número de bancos que utilizaban sistemas con deficiencias en su protección disminuyó de golpe. A juzgar por los datos que tenemos a nuestra disposición, en 2014 la empresa criminal Lurk redujo seriamente sus actividades y sobrevivía “a pan y cebolla”, a tal punto que lanzaba ataques indiscriminados, que afectaban hasta a los usuarios normales. Incluso si el ataque permitía robar tan poco como unas decenas de miles de rublos, lo ejecutaban.
La razón, en nuestra opinión, era de naturaleza económica: para entonces, la organización criminal utilizaba una extensa y extremadamente costosa infraestructura de red. Además del pago de “empleados” de servicios, era necesario pagar por el alquiler de servidores, VPN, y otros suministros técnicos. De acuerdo con nuestras estimaciones, sólo la infraestructura de red les costaba decenas de miles de dólares al mes a los jefes de Lurk.
Los intentos de volver
Aparte de aumentar el número de ataques “pequeños”, los delincuentes trataron de resolver el problema de la falta de dinero mediante la diversificación de sus negocios y la expansión de su campo de actividad. Por diversificación me refiero, en primer lugar, al desarrollo, mantenimiento y arrendamiento del paquete de exploits Angler (también conocido como XXX) a otros delincuentes. Inicialmente, el grupo lo utilizaba para introducir el malware Lurk en el equipo de la víctima. Pero con la caída del número de ataques exitosos, los propietarios de estas herramientas de malware un acceso de pago a grupos de menores dimensiones.
Por cierto, a juzgar por lo que vimos en los foros clandestinos frecuentados por los ciberdelincuentes, Lurk tenía un estatus casi legendario. En primer lugar, debido a su hermetismo: muchos grupos de pequeñas y medianas dimensiones estaban dispuestos a “trabajar” con ellos, pero Lurk prefería siempre actuar sin terceros. Especialmente porque cuando Lurk le dio acceso a Angler a otros concesionarios de la ciberdelincuencia, el paquete de exploits se hizo muy popular, ya que un “producto” de la autoridad absoluta en el underground cibernético ya no necesitaba ninguna publicidad. Además, el paquete de exploits daba un porcentaje muy alto de “perforación” (explotación exitosa de vulnerabilidades) y después de su introducción a finales de 2013 no tardó en convertirse en uno de los instrumentos clave en el mercado criminal2criminal.
En cuanto a la extensión de su ámbito de actividad, Lurk decidió lanzarse contra los clientes de los principales bancos de Rusia y hasta de los propios bancos, a pesar de que antes trataba de elegir objetivos más pequeños.
En el segundo semestre de 2014 en los foros clandestinos vimos que usuarios de Internet cuyos sobrenombres nos eran familiares, pedían la cooperación de especialistas en fraudes con documentos. Y unos meses más tarde, ya en 2015, por algunas ciudades de Rusia corrió una ola de mensajes sobre maleantes que usaban cartas de poder falsificadas para recibir tarjetas SIM sin que sus verdaderos dueños se enteraran.
Esto se hacía para obtener acceso a las contraseñas desechables que el banco envía al usuario para que pueda confirmar una transacción financiera en la banca en línea o en sistemas de banca a distancia. Los atacantes se aprovechaban de que en las zonas alejadas de las grandes ciudades el personal de los operadores móviles no siempre verificaba la autenticidad de los documentos presentados y podía entregar una nueva tarjeta SIM a petición de los criminales. Lurk infectaba la computadora de la víctima, averiguaba sus datos personales, con la ayuda de sus “socios” de los foros falsificaba una carta poder y con ella se dirigía a la oficina del operador.
Una vez recibida la nueva tarjeta SIM, vaciaban de inmediato la cuenta de la víctima y, luego desaparecían.
Aunque inicialmente este esquema daba resultado, muchos bancos ya estaban en el proceso de implementación de mecanismos de protección que realizaran un seguimiento del cambio del número único de la tarjeta SIM, y muy pronto después del comienzo de las “olas” de robos, este método empezó a fallar. Además, la campaña con tarjetas SIM obligó a algunos miembros del grupo y a sus socios a dejar el espacio virtual, lo que ayudó a las fuerzas del orden a encontrar e identificar a los sospechosos.
En el contexto de los intentos de “diversificación de los negocios” y la búsqueda de nuevas brechas en la defensa de las empresas financieras, Lurk seguía, con cierta regularidad, haciendo robos pequeños con el antiguo método del “autogiro”, si encontraba una víctima vulnerable en la red. Sin embargo, los delincuentes planeaban ganar sumas más importantes de otra manera.
Los nuevos “expertos”
En febrero de 2015, el equipo GReAT de Kaspersky Lab publicó un estudio sobre la campaña maliciosa Carbanak, que se especializaba en robar dinero a instituciones financieras. La diferencia clave de Carbanak respecto a la ciberdelincuencia financiera “clásica” era que el equipo Carbanak contaba con profesionales que tenían un conocimiento muy profundo de la infraestructura informática del banco de destino, de su horario, y que sabía los nombres de los empleados con acceso al software usado para la realización de transacciones. Antes del ataque, Carbanak hacía un estudio escrupuloso del blanco elegido, tomaba nota de todas las deficiencias y al llegar el momento “X” realizaba el robo en contadas horas. Pero resulta que Carbanak no era el único grupo que usaba este método de ataque. En 2015 expertos de la misma clase ingresaron al equipo de Lurk.
Nos dimos cuenta cuando supimos de incidentes de características similares a los provocados por Carbanak, pero donde no estaban presentes los instrumentos nocivos característicos de este grupo. Pero sí lo estaba Lurk. En estos casos Lurk no se usaba como instrumento para robar dinero, sino más bien como una “entrada secreta” confiable para penetrar en la infraestructura de la organización atacada. A pesar de que las funciones que antes permitían robar millones de forma casi automática ya no trabajaban, desde el punto de vista del camuflaje Lurk era un malware todavía peligroso al extremo y hecho por profesionales.
Pero a pesar de los intentos de hacer nuevos tipos de ataques, los días de Lurk estaban contados. Los robos se prolongaron hasta la primavera de 2016 (en el hemisferio norte), y los delincuentes, ya sea por estar convencidos de su total impunidad o por sufrir de apatía se preocupaban cada vez menos de hacer que sus acciones fueran anónimas. Sobre todo en lo referente a sacar el dinero: en la última etapa de sus actividades usaba un número reducido de empresas falsas a cuyas cuentas enviaban el dinero, por lo menos a juzgar por el análisis de los incidentes que investigamos en calidad de especialistas técnicos. Pero quizá entonces la variedad de cuentas ya carecía de importancia: tanto nosotros, como expertos técnicos y los órganos de seguridad contábamos con suficientes materiales para ejecutar la detención. Lo que a fin de cuentas sucedió a principios de junio de este año.
¿Nadie en Internet sabe que eres un ciberdelincuente?
La opinión que me hice después de trabajar con Lurk, es que los miembros de este grupo estaban seguros de que nunca los atraparían. Los fundamentos de su seguridad eran: eran muy escrupulosos al borrar los rastros de sus actividades ilegales y en general, trataban de cumplir todas sus tareas de una forma muy minuciosa. Pero, como cualquier persona, cometían errores. Con los años, estos errores se acumularon e hicieron posible interrumpir las actividades del grupo. En otras palabras, a pesar de que es cierto que en Internet es más fácil ocultar las pruebas, hay huellas que no se pueden borrar y con el tiempo un equipo de investigadores profesionales las puede encontrar y acorralar a los culpables.
Lurk no es el primer ni el último ejemplo que demuestra esta idea. Tomemos como ejemplo el troyano bancario Spy-Eye, que fue famoso en su tiempo. Con su ayuda se realizaron robos desde aproximadamente 2009 a 2011, el sospechoso de crearlo fue arrestado en 2013 y declarado culpable en 2014.
Los primeros ataques lanzados mediante el troyano bancario Carberp empezaron alrededor de 2010, y se arrestó al grupo de sospechosos de haberlo creado y propagado solo en 2012, y se los condenó en 2014. Y así por el estilo.
En la historia de las actividades de cada uno de estos ciberdelincuentes y algunos otros, hubo un periodo cuando a todos (sobre todo a los mismos delincuentes) les parecía que eran invulnerables y que la policía no podía hacerles ningún daño. Los resultados finales dicen lo contrario.
Lamentablemente, Lurk no es el último grupo de ciberdelincuentes que atacará a las empresas para lucrar. Tenemos noticias de varios otros grupos similares, que atacan a las organizaciones en Rusia y también fuera de sus fronteras. Por estas razones recomendamos a todas las organizaciones:
- Si los hackers atacaron su organización, apresúrese a informar a la policía e invite a expertos en criminalística digital. Mientras antes haga la denuncia, más pruebas podrán recopilar los criminalistas y más información tendrá la policía para atrapar a los delincuentes.
- Aplique políticas severas de seguridad informática en los equipos desde donde se realizan las transacciones financieras y también a los empleados que las usan.
- Enseñe a todos los empleados de la compañía que tengan acceso a la red corporativa las reglas de trabajo seguro en Internet.
Seguir estas reglas no eliminará al 100% el riesgo de ataques financieros, pero les creará a los delincuentes serias dificultades en el camino a sus objetivos e incrementarán las probabilidades de que al querer superarlas cometan errores. Y con esto facilitarán el trabajo de los órganos de seguridad y los expertos en seguridad informática.
Post scriptum. ¿Por qué toma tanto tiempo?
Es frecuente que se acuse a los órganos de seguridad y los especialistas en seguridad informática de no hacer nada. Se argumenta que los hackers quedan en libertad y quedan impunes a pesar de los enormes daños causados a sus víctimas.
La historia de Lurk demuestra lo contrario y además, puede dar una idea del volumen de trabajo que hay que hacer para que surjan fundamentos legales para perseguir a los sospechosos. El problema es que las “reglas del juego” no son las mismas para todos los implicados: el grupo Lurk usaba un enfoque profesional para organizar una empresa delictiva, pero por razones evidentes no le estorbaba la necesidad de seguir la letra de la ley. En cambio nosotros, al trabajar con la policía, estamos obligados a observar la ley, y esto es un proceso largo, sobre todo por la abundancia de procedimientos de “papeleo” y las limitaciones que la legislación impone a los tipos de información con la cual, como organización comercial, podemos trabajar.
Nuestra interacción con los órganos de seguridad en el marco de la investigación de las actividades de este grupo se puede describir como un intercambio de datos en múltiples etapas. Nosotros presentamos los resultados parciales de nuestro trabajo a la policía y ellos los estudian para entender si tienen relación con sus propias indagaciones. Después, nosotros recibimos un conjunto de datos “enriquecido” con información de la policía. Pero no es toda la información que se pudo recopilar, sino sólo la parte con la que, por ley, tenemos derecho a trabajar. Este proceso se repitió muchas veces hasta que al fin tuvimos un panorama completo de las actividades de Lurk. Sin embargo, aquí no terminan las cosas.
Una enorme parte de nuestro trabajo con los órganos de seguridad estuvo dedicada a la “traducción” de los datos que logramos conseguir del idioma “técnico” al idioma “jurídico”, para que los resultados de nuestras indagaciones estuvieran descritos en los debidos términos jurídicos, comprensibles para el juez. Este es un proceso complejo y meticuloso, pero es la única forma de hacer que los culpables de estos delitos cibernéticos asuman su responsabilidad.
A la caza de Lurk