Empleando una nueva técnica que combina hackeo de redes bancarias, manipulación de límites de sobregiro y la desactivación de alertas de fraude, delincuentes han logrado girar más de US$ 40 millones desde cajeros automáticos en Europa del Este.

La modalidad de ataque, que pone de relieve un alto grado de sofisticación, ha sido detectada por SpiderLabs de Trustware. Según la empresa, los ataques han estado ocurriendo desde marzo de este año.

Los atacantes dirigen sus ataques hacia bancos con escasas medidas de seguridad. En un informe disponible en el sitio de SpiderLabs (requiere registro), la empresa señala que los ataques no son obra de delincuentes solitarios, sino de un bien organizado sindicato internacional.

La empresa investigó robos en cinco bancos de Europa del Este. En cada incursión, los atacantes obtuvieron botines de entre US$ 3 millones y US$ 10 millones. Los bancos afectados han sumado pérdidas superiores a los US$ 40 millones.

 

 

La empresa recalca que las estimaciones corresponden únicamente a los bancos que la han contactado solicitando asistencia, por lo que otros potenciales afectados podrían estar guardando silencio, o quizás ni siquiera hayan detectado el fraude.

El modus operandi

Según Trustwave, cada ataque se desarrolló en múltiples etapas. La primera de ellas consistía en reclutar a individuos conocidos en jerga como «mulas»; es decir, personas que acudieron a los bancos para abrir cuentas bajo identidades falsas.

Los delincuentes procedieron luego a infectar las computadoras de los empleados del banco, moviéndose lateralmente dentro de la red del banco e identificando las estaciones de trabajo que tenían acceso a los sistemas internos de la entidad. Cuando estimaron necesario, los delincuentes incluso tuvieron la capacidad de comprometer a los proveedores del banco, encargados de proporcionar soluciones de administración de tarjetas de pago.

Al obtener acceso completo a todos los sistemas necesarios para perpetrar su fraude, los delincuentes  coordinaron ataques a gran escala con las llamadas «mulas de retiro en efectivo» en uno o varios días.

Durante la noche, los delincuentes modificaron el límite de sobregiro en las tarjetas de débito creadas fraudulentamente, permitiendo que las «mulas» retirasen dinero de cajeros automáticos con límites más altos.

Cuando pudieron, los piratas informáticos también desactivaron los sistemas de detección de fraudes de tarjetas del banco. En caso contrario, enviaron a las «mulas» a países vecinos, retrasando la posibilidad de que el banco emisor detectara las transacciones fraudulentas.

Trustwave señala que los retiros de dinero ocurrieron minutos después de que el límite de sobregiro había sido modificado, mostrando un alto nivel de coordinación entre los diferentes integrantes de la pandilla cibernética y las mulas operativas.

Una vez retirado el dinero, los delincuentes iniciaron ataques con malware que destruiría el MBR (registro de arranque principal) de las computadoras infectadas, dañando su sistema de almacenamiento y obstaculizando así la investigación subsiguiente.

Los ataques son detallados en el informe de Trustwave SpiderLabs denominado «Post-Soviet Bank Heists: A Hybrid Cybercrime Study» .

Fuente: Diario TI

Compartir