Al menos
ocho bancos de Europa del Este han sido atacados usando el mismo modus
operandi, bautizado por Karspersky como DarkVishnya, causando más de diez
millones de dólares en pérdidas.
Durante el
año 2017 y también durante este mismo año, especialistas de la compañía
antivirus Kaspersky investigaron varios incidentes de robo en al menos ocho
bancos europeos.
Todos ellos
compartían el mismo patrón de actuación; un dispositivo conectado diréctamente
a la red local de la organización. En ocasiones en alguna oficina central, en
otras, en una oficina regional o incluso, en otro país distinto.
Detalle del ataque
El ataque
comprende 3 fases bien definidas:
En una
primera fase, se consigue acceso físico con la excusa de entregar un paquete,
buscar un empleo en la compañía, etc. Una vez dentro de las instalaciones, se
conecta un dispositivo a un PC o a alguna regleta con conexiones RJ45 (en
alguna sala de reuniones o en lugares apartados sin llamar mucho la atención).
Éste
dispositivo comunmente puede ser un netbook o un portátil barato, una Raspberry
Pi o un Bash Bunny. Una vez conectado, el acceso a la red se conseguía mediante
una conexión GPRS/3G/LTE presente en el dispositivo.
Más tarde,
en una segunda fase, los atacantes comienzan a ganar acceso a directorios
compartidos, servidores web y cualquier otro recurso abiertamiente disponible
con el objetivo de obtener la mayor cantidad de información sobre la red.
También usaban fuerza bruta o esnifaban conexiones de red para moverse
lateralmente hasta llegar finalmente a las máquinas responsables de hacer
pagos.
En la
tercera y última fase, se mantenía el acceso a las máquinas de la organización
mediante técnicas habituales para poder acceder en cualquier otro momento,
tales como la habilitación de puertas traseras, escritorios remotos, etc.
Más información:
Fuente:
Hispasec