El gran robo de banco: el APT Carbanak

Download Full Report PDF (eng)

La historia de Carbanak comenzó cuando un banco de Ucrania nos pidió ayuda con una investigación forense: Le estaban robando misteriosamente el dinero desde los cajeros automáticos. Al principio creímos que se trataba del programa malicioso Tyupkin. Sin embargo, después de investigar el disco duro del sistema de cajeros automáticos, no logramos encontrar nada, salvo una inusual configuración VPN (la máscara de red estaba fijada en 172.0.0.0).

En ese momento, nos pareció como un ataque más de programas maliciosos. Ni nos imaginábamos en ese entonces que pocos meses después uno de nuestros colegas recibiría una llamada a las tres de la madrugada. Era un gerente de cuenta que nos pedía que hiciéramos algunas llamadas urgentes. Al otro lado de la línea se encontraba el jefe de estrategia de un banco ruso. Uno de sus sistemas alertaba sobre envíos de datos desde su controlador de dominio hasta China.

Cuando llegamos a sus oficinas, logramos rápidamente encontrar el programa malicioso en el sistema. Escribimos un script batch para eliminar el programa de un PC infectado, y lo ejecutamos en todos los ordenadores del banco. Lo hicimos varias veces hasta estar seguros de que todos los equipos estaban limpios. Por supuesto, guardamos muestras que nos permitieron descubrir el programa malicioso Carbanak.

Cómo funciona

Un análisis forense más exhaustivo nos condujo al punto inicial de la infección: un mensaje de correo tipo spear-phishing con un adjunto CPL. En otros casos se utilizaron documentos Word que explotaban vulnerabilidades conocidas. Después de ejecutar el shellcode se instala en el sistema una puerta trasera basada en Carberp. Esta puerta trasera es lo que hoy conocemos como Carbanak. Está diseñada para el espionaje, la extracción de datos y el control remoto.

Una vez que los atacantes penetran en la red, realizan un reconocimiento manual para infectar los equipos más importantes (como los de los administradores) y utilizan herramientas de movimiento lateral. En resumen, después de penetrarla, exploran la red hasta encontrar su punto de interés. Este punto de interés varía según los ataques. Sin embargo, lo que todos tienen en común es que desde este punto es posible extraer dinero desde la entidad infectada.

Los ciberdelincuentes que controlan Carbanak no necesitan conocer con antelación el funcionamiento de los bancos que atacan, ya que varía de uno a otro. Para poder entender cómo funciona un determinado banco, grabaron vídeos usando los equipos infectados que posteriormente enviaron a sus servidores de comando y control. Aunque la calidad de los vídeos era bastante pobre, servían a los propósitos de los atacantes, que también contaban con los datos interceptados a través del teclado del equipo espiado, para entender lo que su víctima hacía. Esto les proporcionó los conocimientos que necesitaban para robar el dinero.

Procedimientos del robo

En nuestra investigación detectamos varias de las formas en que realizaban el robo:

Los cajeros automáticos recibían instrucciones remotas para entregar dinero sin necesidad de interactuar con la máquina, y el dinero lo recogían mulas. Usaban la red SWIFT para transferir el dinero desde el banco a las cuentas de los ciberpiratas. Asimismo, alteraban las bases de datos con información de cuentas para crear cuentas falsas con un saldo bastante elevado.

Infecciones y pérdidas

Desde que comenzamos a investigar esta campaña, trabajamos de forma estrecha con las autoridades que perseguían al grupo Carbanak. Como resultado de esta cooperación nos enteramos que los blancos alcanzaban hasta 100. En el caso de las instituciones financieras, al menos la mitad de los casos, los ciberdelincuentes lograron robarles dinero. Las pérdidas por banco están entre los 2,5 y 10 millones de dólares, aproximadamente. Sin embargo, según la información bridada por dichas autoridades y por las mismas víctimas, las pérdidas financieras totales podrían ascender a los 1.000 millones de dólares, lo que harían de esta campaña cibercriminal la más exitosa que hayamos visto.

Nuestra investigación comenzó en Ucrania y después pasó a Moscú, y la mayoría de las instituciones financieras atacadas por el grupo se encontraba en Europa oriental. Sin embargo, gracias a los datos de KSN y a la información obtenida de los servidores de comando y control, sabemos que Carbanak también atacó a blancos en EE.UU., Alemania y China. Ahora estos ciberpiratas están ampliando sus operaciones a nuevas zonas, como Malasia, Nepal, Kuwait y varias regiones en África, entre otras.

El grupo sigue activo, por lo que pedimos a todas las entidades financieras que procedan a escanear sus redes en busca de Carbanak. Si lo encuentran, deben dar parte inmediatamente a las respectivas autoridades.

Para conocer la campaña en profundidad, los IOCs y la lista de infecciones, puedes leer nuestro informe.

Para verificar la presencia de Carbanak, puedes usar el fichero abierto IOC que ponemos a tu disposición aquí.


Preguntas más frecuentes

¿Qué es Carnabak?

Carbanak es el nombre que usamos para referirnos a una campaña de ataques APT lanzados contra instituciones financieras, pero sin limitarse a ellas. La principal diferencia con otros ataques APT es que los atacantes no buscan datos, sino dinero. Decimos que son ataques tipo APT, aunque los ataques no son, estrictamente hablando, avanzados. Propiamente dicho, la principal característica que define a los atacantes es la persistencia.

Bautizamos esta puerta trasera con el nombre Carbanak porque se basa en Carberp y el nombre del fichero de configuración es “anak.cfg”.

¿Cuáles son los propósitos maliciosos de esta campaña?

Los atacantes penetran la red de la víctima en busca de sistemas críticos que puedan usar para extraer dinero. Una vez que roban una cantidad importante de dinero (entre 2,5 y 10 MM USD por entidad), abandonan a su víctima.

¿Por qué es significativo?

Las entidades bancarias siempre han sido un blanco predilecto de los ciberpiratas. Sin embargo, las víctimas eran los clientes. Esta vez, los atacantes están atacando directamente a las organizaciones mediante ataques sin precedentes, determinados y altamente profesionales y coordinados, y usan cualquier medio a su disposición para robar tanto dinero como sea posible, hasta alcanzar un límite aparentemente fijado por ellos mismos.

¿Se puede explicar la cronología de la campaña?

De acuerdo a lo que sabemos, las primeras muestras maliciosas se compilaron en agosto de 2013, cuando los ciberpiratas comenzaron a probar el programa malicioso Carbanak. Las primeras infecciones se detectaron en diciembre de 2013.

En promedio, cada robo tardó en realizarse entre dos y cuatro meses, desde la infección del primer equipo en la red corporativa del banco, hasta la extracción misma del dinero.

Creemos que la banda tuvo éxito en el robo a sus primeras víctimas entre febrero y abril de 2014. El pico de las infecciones se registró en junio de 2014.

Hoy en día, está campaña continúa activa.

¿Por qué se publican los detalles solo ahora?

Desde que comenzamos a trabajar en esta campaña hemos colaborado con las autoridades que la estaban investigando y las ayudamos en todo lo posible. Como la investigación permanece abierta, nos pidieron que no compartiéramos información hasta que fuese seguro hacerlo.

¿Os habéis puesto en contacto con las víctimas y los Equipos de respuesta de emergencia informática (CERTs) en los países donde se detectaron los incidentes?

Sí. Esta investigación derivó en una operación conjunta entre el Equipo de análisis e investigación mundial de Kaspersky Lab (GReaT), organizaciones internacionales, autoridades nacionales y regionales, y equipos de respuesta de emergencia informática en todo el mundo.

Uno de nuestros principales objetivos era divulgar lo que sabíamos sobre la campaña e IOCs entre todas las víctimas detectadas y potenciales. Las autoridades y los Equipos de respuesta de emergencia informática fueron los canales de publicación.

¿Cómo habéis contribuido a la investigación?

Estamos ayudando en las investigaciones y en las contramedidas para neutralizar los programas maliciosos y las actividades cibercriminales. Durante las investigaciones brindamos nuestros conocimientos y experiencia técnicos, como el análisis de los vectores de infección, programas maliciosos, infraestructura y soporte de los servidores de comando y control, y métodos de explotación.

¿Cómo propagaban este programa malicioso?

Los atacantes usaron mensajes de correo tipo spear-phishing con adjuntos maliciosos que enviaban a los empleados de las instituciones blanco, y en algunos casos los enviaban a sus direcciones de correo electrónico personales. Creemos que los atacantes también usaron ataques de descargas al paso, pero esto aún no lo hemos confirmado por completo.

¿Cuál es el impacto potencial para las víctimas?

En base a lo que los ciberdelincuentes robaron a sus víctimas, una nueva víctima puede sufrir pérdidas de hasta 10 millones de dólares. Sin embargo, esta cifra es arbitraria y se basa en lo que sabemos: una vez que la institución se infecta, las pérdidas potenciales no tienen límite.

¿Quiénes son las víctimas? ¿Cuál es la escala del ataque?

Las víctimas son principalmente instituciones financieras. Sin embargo, también hemos detectado infecciones en terminales de puntos de venta y en agencias de relaciones públicas. Para tener una mejor idea de la escala del ataque, puedes consultar los cuadros y mapas que acompañan a nuestro informe.

Como sucede con muchas campañas de programas maliciosos, existe una variedad de compañías/individuos que analizan los programas maliciosos, lo que resulta en peticiones al servidor de comando y control. Cuando analizamos estos servidores, todo lo que vemos son las IPs y posiblemente algunos datos adicionales. Cuando no existen estos datos adicionales, y cuando no es posible rastrear las IPs hasta sus dueños, entonces la definimos como una infección.

En base a este enfoque, nuestro análisis concluye que Rusia, EE.UU., Alemania y China son los países más afectados en cuanto a la cantidad de rastros de la infección (direcciones IP).

¿Cómo están protegidos los usuarios corporativos contra este tipo de ataque? ¿Kaspersky Lab protege a sus usuarios?

Sí. Hemos detectado muestras de Carbanak, como Backdoor.Win32.Carbanak y Backdoor.Win32.CarbanakCmd.

Todos los productos y soluciones corporativos de Kaspersky Lab detectan muestras conocidas de Carbanak. Para incrementar el nivel de protección, recomendamos activar el módulo de Defensa proactiva de Kaspersky que se encuentra en cada producto y solución modernos.

También ofrecemos algunas recomendaciones generales:

  • No abrir mensajes de correo sospechosos, especialmente si llevan un adjunto.
  • Actualizar el software (en esta campaña se usaron día-cero).
  • Activar el módulo heurístico en los paquetes de seguridad, para aumentar las posibilidades de detectar y neutralizar las nuevas muestras apenas aparecen.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *