Eventos relevantes en 2019
- Neutralización de medidas antifraude a gran escala: Genesis puso al descubierto el mercado negro de huellas digitales
- Autenticación de múltiples factores (MFA, por sus siglas en inglés) y desafíos biométricos
- Grupos de ataques específicos especializados en instituciones financieras: división y globalización
- Malware para cajeros automáticos cada vez más específico
- Robo y reutilización de información de tarjetas bancarias: Malware para el robo de tarjetas de crédito Magecarting por doquier y batalla de familias de malware para POS en América Latina
Neutralización de medidas antifraude a gran escala: Genesis puso al descubierto el mercado negro de huellas digitales
En los últimos años, los ciberpiratas han realizado grandes inversiones en métodos para neutralizar los sistemas antifraude, pues ahora ya no es suficiente robar los inicios de sesión, las contraseñas y PIIs. Ahora necesitan una “huella dactilar digital” para evadir los sistemas antifraude y poder robar dindero del banco. Durante 2019, identificamos un enorme mercado clandestino, conocido como Genesis, donde se venden huellas digitales virtuales de usuarios de banca en línea de todo el mundo.
Desde la perspectiva de los sistemas antifraude, la identidad digital del usuario es como una huella digital: una combinación de los atributos del sistema que son únicos para cada dispositivo y de los atributos de comportamiento personal del usuario. Incluye la dirección IP (externa y local), información sobre la pantalla (resolución de la pantalla y tamaño de la ventana), versión del firmware, versión del sistema operativo, complementos del navegador instalados, zona horaria, ID del dispositivo, información sobre la batería, fuentes, etc. El dispositivo puede tener más de 100 atributos utilizados para la navegación. La segunda parte de la identidad digital es el análisis de comportamiento.
En sus continuos esfuerzos de buscar formas de neutralizar las medidas antifraude, los ciberdelincuentes intentan sustituir la huella digital real del sistema con una falsa, o con otras robadas del computador de otro usuario.
Genesis Store es un mercado negro en línea de huellas digitales robadas, que funciona por invitación. En el momento de nuestra investigación, ofrecía más de 60 000 perfiles de bots robados. Los perfiles incluyen: huellas digitales del navegador, nombres de usuario y contraseñas del sitio web, cookies, datos de tarjetas de crédito, etc. Al cargar esta huella digital al navegador Tenebris Linken Sphere, los ciberpiratas logran camuflarse como usuarios legítimos de banca en línea de cualquier región, país, estado, ciudad, etc.
Este tipo de ataques revela que los ciberpiratas poseen un profundo conocimiento de la forma en que trabajan los sistemas internos bancarios y resulta un verdadero desafío protegerse contra estos ataques. La mejor opción es usar siempre la autenticación de múltiples factores.
Autenticación de múltiples factores (MFA, por sus siglas en inglés) y desafíos biométricos
La autenticación de múltiples factores es un reto para los ciberdelincuentes. Cuando se usa esta autenticación, se ven obligados a inventar técnicas para evitarla. Los métodos que más se utilizaron el año pasado, fueron:
- Explotación de vulnerabilidades y fallas en la configuración del sistema. Por ejemplo, los ciberpiratas lograron encontrar y explotar varias fallas en los sistemas remotos de banca para evitar las contraseñas de un solo uso (OTPS);
- mediante ingeniería social, un método común entre los ciberpiratas de habla rusa en la región Asia-Pacífico;
- intercambio de SIMs, técnica muy popular en regiones como América Latina y África. De hecho, a pesar de que los SMS ya no se consideran una autenticación de dos factores segura, sus bajos costos operativos hacen que sea el método más popular entre los proveedores.
En teoría, los datos biométricos deberían resolver una serie de problemas relacionados con la autenticación de dos factores, pero la práctica muestra que esto no es tan sencillo. El año pasado se identificaron varios casos que indican que la tecnología biométrica está lejos de ser perfecta.
En primer lugar, hay varios problemas en su implementación. Por ejemplo, Google Pixel 4 no verifica si los ojos del usuario están abiertos durante el proceso de desbloqueo mediante características faciales. Otro ejemplo es la posibilidad de evadir la autenticación de huellas digitales mediante el sensor ubicado detrás de la pantalla en los teléfonos inteligentes de varias marcas, como Samsung.
Existe otro truco utilizado en América Latina: los ataques de captura visual. Los ciberpiratas instalaron cámaras CCTV espías para grabar los PINs de usuarios cuando los usaban para desbloquear sus teléfonos. Esta técnica tan sencilla sigue siendo muy efectiva para ambos tipos de víctimas: las que usan datos biométricos y las que prefieren PINs en vez de huellas digitales o reconocimiento facial. Esto se debe a que, cuando un dispositivo está grasoso o empolvado (y lo mismo aplica a los dedos del usuario), la mejor manera de desbloquear un teléfono es mediante un PIN.
En segundo lugar, se han producido varias fugas de bases de datos biométricos de alto perfil. La más llamativa fue la fuga de la base de datos Biostar 2 que incluía los datos biométricos de más de un millón de personas. La compañía guardaba los datos sin codificarlos, incluyendo nombres, contraseñas, domicilios, direcciones de correo y, lo más importante, datos biométricos no codificados que incluían huellas digitales, patrones de reconocimiento facial e imágenes de rostros. Una fuga similar ocurrió en las instalaciones de un contratista de la Aduana y control fronterizo de EE.UU., de donde se robó la información biométrica de más de 100.000 personas.
Ya se han realizado varios ataques prueba de concepto que usan datos biométricos para evadir los controles de seguridad, pero estos ataques podían haberse neutralizado si se hubieran actualizado los sistemas. En cambio, esta medida no funciona con las últimas fugas, porque los datos biométricos de un usuario no pueden modificarse: siguen siendo los mismos para siempre.
Los casos arriba mencionados, combinados con la investigación de alta calidad realizada por los ciberpiratas para obtener la huella digital completa de un usuario para neutralizar los sistemas antifraude, sugieren que basarse exclusivamente en datos biométricos no resuelve los problemas actuales. Las modernas implementaciones requieren de mucho esfuerzo y más investigación para que sean realmente seguros.
Grupos especializados en lanzar ataques selectivos contra instituciones financieras: división y globalización
FIN7
En 2018, Europol y el Departamento de justicia de EE.UU. anunciaron el arresto del líder de los grupos cibercriminales FIN7 y Carbanak/CobaltGoblin. Se pensó que dicho arresto afectaría las operaciones del grupo, pero no parece ser ese el caso. De hecho, la cantidad de grupos que opera bajo la sombra de CobaltGoblin y FIN7 ha crecido: hay varios grupos interconectados que usan conjuntos de herramientas muy similares y la misma infraestructura para lanzar sus ciberataques.
El primero entre ellos es el ahora notorio FIN7 que se especializa en atacar a varias compañías para acceder a su información financiera o a su estructura PoS. Utiliza la puerta trasera Griffon JScript y Cobalt/Meterpreter y, en recientes ataques, PowerShell Empire.
El segundo es CobaltGoblin/Carbanak/EmpireMonkey. Usa el mismo conjunto de herramientas, técnicas y una infraestructura similar, pero ataca solo a entidades financieras y proveedores de servicio y software asociado.
El último grupo es el recientemente descubierto CopyPaste, que ha atacado a entidades financieras y empresas en un país del África, lo que nos lleva a pensar que está asociado con cibermercenarios o a un centro de entrenamiento. Los vínculos entre CopyPaste y FIN7 son aún muy tenues. Es posible que los operadores de este grupo se base en publicaciones de código abierto y que en realidad no tenga relación con FIN7.
Todos estos grupos se aprovechan en gran medida de los sistemas sin parches en entornos corporativos, y siguen usando efectivas campañas de spear-phishing junto a conocidos exploits de Microsoft Office generados por el conjunto de herramientas. Hasta ahora, los grupos no han usado vulnerabilidades de día cero. Los documentos de phishing de FIN7/Cobalt pueden parecer básicos, pero en combinación con una extensa ingeniería social y ataques selectivos, han tenido bastante éxito.
A mediados de 2019, FIN7 se sumió en el silencio, pero volvió al terminar el año con nuevos ataques y nuevas herramientas. Sospechamos que dicho periodo de silencio está relacionado con el cierre de su infraestructura, que ocurrió después del cierre de una compañía de “hosting blindado” en Europa oriental.
A diferencia de FIN7, la actividad del grupo Cobalt Goblin fue estable durante el año, lo que una vez más confirma que estos grupos están relacionados, pero cada uno opera por su propia cuenta: su conjunto de herramientas y TTPs son muy similares, pero actúan de forma independiente; muy ocasionalmente detectamos solapamientos en su infraestructura. Al mismo tiempo, la intensidad de los ataques es un poco menor que en 2018. Las tácticas de Cobalt Goblin siguen siendo las mismas: usan documentos con exploits que primero descargan un pequeño descargador y luego una baliza de Cobalt. Los principales objetivos también siguen siendo los mismos: pequeños bancos en varios países. Tal vez hayamos detectado pocos ataques debido a su diversificación, porque algunos indicadores sugieren que este grupo también podría estar involucrado en el sniffing de JS (MageCarting) a fin de obtener datos sobre tarjetas de pago directamente en los sitios web.
El sniffing de JS fue muy popular en todo el año y encontramos miles de sitios de comercio en línea infectados con estos scripts. Los scripts inyectados actúan en diferentes formas y la infraestructura de los atacantes es muy diferente, lo que sugiere que este tipo de fraude es utilizado por al menos una docena de grupos de ciberpiratas.
El grupo Silence expandió sus operaciones a diferentes países durante el año. Detectamos ataques en regiones donde nunca antes se los había visto. Por ejemplo, registramos ataques en el sudeste asiático y en América Latina. Esto indica que o bien han expandido sus operaciones por sí mismos, o han comenzado a cooperar con otros grupos de ciberdelincuentes establecidos a nivel regional. Sin embargo, cuando vemos el desarrollo de su principal puerta trasera, vemos que sus tecnologías casi no han cambiado en los últimos dos años.
Malware para cajeros automáticos cada vez más específico
Respecto al malware para cajeros automáticos, descubrimos varias familias completamente nuevas en 2019. Entre las más notables estaban ATMJadi y ATMDtrack.
ATMJadi es interesante porque no usa las bibliotecas estándar XFS, JXFS o CSC. En lugar de ello, usa las clases propietarias de Java para los cajeros automáticos del banco atacado, es decir, el malware solo funciona en un subconjunto reducido de cajeros automáticos. Esto hace que este malware sea muy selectivo (ataca a un banco específico).
Nos trae a la memoria el caso FASTcach de 2018, cuando los ciberpiratas atacaron a varios servidores con sistema operativo AIX. Dada la disminución en la cantidad de herramientas de retiro de efectivo de uso general, podemos afirmar que el malware para cajeros automáticos es cada vez más raro y más específico.
Otro interesante malware es ATMDtrack, que se detectó por primera vez en instituciones financieras en India y está diseñado para retirar efectivo de cajeros automáticos. Gracias a Kaspersky Targeted Attack Attribution Engine (KTAE), logramos atribuir estos ataques al grupo Lazarus, lo que valida nuestra predicción de 2018 en sentido de que habrá “más ataques con respaldo gubernamental contra organizaciones financieras”. Además, se han detectado programas maliciosos espías similares en centros de investigación: el grupo Lazarus ATP usó herramientas casi idénticas para robar resultados de investigaciones en institutos científicos.
Robo y reutilización de información de tarjetas
Durante el año vimos muchos programas maliciosos que atacaban a usuarios finales y negocios para robarles datos de tarjetas de crédito. En Brasil, en particular, vimos un par de familias de malware luchando para mantener el control de dispositivos infectados. HydraPOS y ShieldPOS estuvieron muy activas durante el año, con nuevas versiones que incluían muchos objetivos nuevos; por otra parte, Prilex redujo sus actividades en el segundo semestre del año.
ShieldPOS ha estado activo desde al menos 2017 y, después de ser solo malware, se convirtió en un MaaS (siglas en inglés de Malware como servicio). Este hecho muestra que hay un gran interés de parte de los ciberpiratas latinoamericanos en tener su propio “negocio” de robo de tarjetas de crédito. HydraPOS ha estado enfocado en el robo de dinero en sistemas POS en restaurantes, máquinas de estacionamientos y una variedad de tiendas minoristas.
Si la comparamos con ShieldPOS, vemos que HydraPOS es una campaña antigua de un actor al que llamamos Maggler, que ha estado dedicado al robo de tarjetas de crédito desde al menos 2016. La principal diferencia es que, a diferencia de ShieldPOS, no funciona como MaaS. En ambos casos, sospechamos que el vector inicial de infección es una campaña de ingeniería social cuidadosamente preparada y ejecutada a través de llamadas telefónicas a las víctimas.
Análisis de pronósticos para 2019
Antes de dar nuestros pronósticos para 2020, veamos cuán exactas fueron nuestras predicciones para 2019:
Surgimiento de nuevos grupos debido a la fragmentación de Cobalt/Carbanak y FIN7: nuevos grupo y nueva geografía.
- Sí. Vimos actividad de CobaltGoblin, de FIN7 y de CopyPaste, así como la confluencia de IoCs y el grupo Silence.
Los primeros ataques a través del robo y uso de datos biométricos.
- Sí. El robo de varias bases de datos biométricos fue un evento regular durante el año. También descubrimos un mercado negro donde los ciberpiratas compran huellas digitales y datos de comportamiento (componente de la biométrica).
El surgimiento de nuevos grupos locales que atacan a instituciones financieras en la región indo-paquistaní, el sudeste de Asia y Europa central.
- Resultó que grupos reconocidos como Lazarus, Silence y CobaltGoblin tomaron su lugar y atacaron muy activamente a instituciones financieras en estas regiones.
Continuación de ataques contra la cadena de suministro: ataques contra pequeñas empresas que prestan servicios a instituciones financieras en todo el mundo.
- Sí.
La ciberdelincuencia tradicional se enfocará en objetivos más sencillos y en evadir las soluciones antifraude: los ataques contra sistemas de pagos en línea reemplazarán a los ataques contra terminales PoS.
- Sí. La cantidad de grupos que empezaron a lanzar ataques contra sistemas de pago en línea creció de forma constante durante el año. Detectamos miles de sitios web afectados por ataques del tipo skimming para JS.
Los sistemas de ciberseguridad de las instituciones financieras serán evadidos con dispositivos físicos conectados a la red interna.
- Sí. Y no solo en instituciones financieras, sino incluso en la industria aeroespacial, como la NASA, que ha sufrido este tipo de ataque.
Ataques contra la banca móvil para usuarios corporativos.
Campañas de ingeniería social avanzada dirigidas a operadores, secretarios y otros empleados internos a cargo de transferencias de dinero.
- Sí. Los ataques BEC (siglas en inglés de infección del correo corporativo) han aumentado en todo el mundo. Hemos detectado ataques notables en Japón, además de campañas en América del Sur, especialmente en Ecuador.
- Asimismo, en Brasil se han lanzado numerosos ataques de ingeniería social avanzada con el fin de inducir a los operadores de PoS a que vayan a sitios maliciosos, descarguen módulos de control remoto especialmente diseñados y los ejecuten, por ejemplo, en los ataques HydraPOS.
Pronóstico para 2020
Ataques contra Libra y TON/Gram
El exitoso lanzamiento de las criptomonedas Libra y Gram puede expandir su uso a escala mundial, lo que naturalmente atraerá la atención de los ciberdelincuentes. Dada la crítica irrupción de actividades cibercriminales que acompañaron al crecimiento rápido de Bitcoin y de las altcoins en 2018, prevemos una situación similar alrededor de Gram y Libra. Los principales actores de este mercado deben tener mucho cuidado, ya que existen varios grupos de APT, como WildNeutron y Lazarus, entre cuyos intereses se cuentan las criptomonedas. Es muy probable que estos grupos dirijan sus ataques contra estas criptomonedas.
Reventa de accesos a bancos
Durante 2019, hemos observado casos en los que grupos especializados en ataques selectivos contra instituciones financieras aparecieron en las redes de las víctimas después de que las penetraran otros grupos dedicados a la reventa de accesos rdp/vnc, como FXSMP y TA505. Estos hechos también han sido confirmados por el monitoreo de foros y chats clandestinos.
En 2020, prevemos un aumento en la actividad de grupos especializados en la reventa de accesos a redes en las regiones de África, Asia, y también Europa oriental. Sus objetivos primarios son bancos pequeños, y organizaciones financieras recientemente adquiridas por otras mucho mayores y que se encuentran reconstruyendo sus sistemas de ciberseguridad siguiendo las políticas de los nuevos dueños.
Ataques con ransomware contra bancos
Este pronóstico se desprende lógicamente del anterior. Como mencionamos líneas más arriba, las pequeñas instituciones financieras suelen ser las víctimas de ciberpiratas oportunistas. Si los ciberladrones no pueden revender los accesos, o si incluso no pueden robar directamente dinero, entonces lo lógico es monetizar los accesos conseguidos mediante ataques con ransomware. Los bancos están dentro de las organizaciones más propensas a pagar rescates antes que aceptar la pérdida de sus datos, por lo que prevemos que este tipo de ataques selectivos con ransomware continúe en alza en 2020.
Otro vector de ataques con ransomware contra instituciones financieras pequeñas y medianas será el esquema “pague por instalar”. Las redes zombi se convertirán en mecanismos de propagación cada vez más comunes contra dichas organizaciones financieras.
2020: el regreso de las herramientas personalizables
Las medidas que toman los productos antivirus para detectar de forma efectiva las herramientas de código abierto usadas en pruebas de penetración, así como la adopción de las más modernas tecnologías de ciberprotección, en 2020 llevará a los ciberpiratas a regresar a las herramientas personalizables y a invertir en nuevos troyanos y exploits.
Propagación a escala mundial de los troyanos bancarios móviles: Resultado de una fuente filtrada
Nuestra investigación y monitoreo de foros clandestinos revela que se han filtrado al público los códigos fuente de conocidos troyanos bancarios móviles. Dada la popularidad de estos troyanos, prevemos que se repita la situación de cuando se filtraron los códigos fuente de ZeuS y SpyEye: la cantidad de ataques a usuarios aumentará a veces, y la geografía de los ataques se expandirá a casi todos los países del mundo.
Apps de inversiones en alza: Nuevo objetivo para los ciberpiratas
Las apps móviles para inversiones son cada vez más populares entre usuarios en todo el mundo. Esta tendencia atraerá la atención de los ciberpiratas en 2020. Dada la popularidad de algunas compañías de tecnología financiera y de cambios (de divisas físicas y virtuales), los ciberpiratas se darán cuenta de que no todas están en condiciones de defenderse contra ataques masivos, ya que algunas carecen de seguridad básica para las cuentas de los clientes, y no ofrecen la autenticación de dos factores o la asociación de certificados para proteger la comunicación de la app. Varios gobiernos están desregularizando esta área y cada día aparecen nuevos actores, lo que lleva a su rápida popularización. De hecho, ya hemos visto intentos de los ciberpiratas para sustituir las interfaces de estas apps con sus propias versiones maliciosas.
Magecarting 3.0: Habrá más grupos de atacantes y las apps en la nube serán objetivos primarios
En el último par de años, los ataques del tipo skimming para JS se han vuelto muy populares entre los atacantes. Por desgracia, los ciberpiratas ahora cuentan con una enorme superficie de ataque conformada por sitios web de comercio virtual vulnerables y herramientas de skimming para JS extremadamente baratas en venta en varios foros, con precios desde los 200 dólares. Por ahora podemos distinguir al menos 10 actores diferentes involucrados en este tipo de ataques y creemos que este número seguirá aumentando en el próximo año. Los ataques más peligrosos serán contra empresas proveedoras de servicios, por ejemplo de comercio virtual como servicio, lo que ocasionará la infección de miles de empresas.
La inestabilidad política abrirá las puertas a los delitos cibernéticos en determinadas regiones.
Algunos países están sufriendo levantamientos políticos y sociales, lo que arroja miles de personas en busca de asilo en otros países. Estas olas migratorias incluyen a todo tipo de personas, entre ellas a ciberpiratas. Este fenómeno dará como resultado la propagación de ataques localizados en países que antes no sufrieron tales ataques.
Ciberamenazas contra instituciones financieras: Panorama y predicciones para 2020