Se atribuye el robo al grupo criminal ruso MoneyTaker
Un grupo de hackers robó al menos 920 mil dólares del PIR Bank de Rusia después de haber intervenido exitosamente un enrutador de Cisco desactualizado e incompatible en una sucursal bancaria, utilizándolo como un método de acceso a la red local del banco, reportan expertos en cursos de protección de datos personalesdel Instituto Internacional de Seguridad Cibernética.
Reportes de seguridad afirman que el equipo comprometido se trataba de un enrutador Cisco 800 Series, con iOS 12.4, que dejó de recibir soporte desde el 2016.
El robo salió a la luz después de que el diario político y financiero ruso Kommersant informara el 6 de julio que el PIR Bank perdió al menos 58 millones de rublos (920 mil dólares) y posiblemente mucho más, después de que hackers transfirieran dinero desde la cuenta del Banco de Rusia, que es el banco central del país.
Según los informes, PIR Bank pudo recuperar algunos fondos, pero la mayoría del dinero transferido parece haberse perdido.
Investigación sobre el robo
Más detalles sobre el ataque han sido publicados por el grupo de expertos en cursos de protección de datos personales encargado de investigar el caso. Con base en las técnicas empleadas en el ataque, como el uso de scripts de PowerShell para ganar persistencia en las redes y automatizar algunas etapas del hack, se cree que la pandilla rusa MoneyTaker es responsable del ataque.
MoneyTaker es una de las tres pandillas de crímenes informáticos más activas de Rusia, las otras son Cobalt y Silence, que dirigen regularmente sus ataques al sector de servicios financieros.
Los especialistas en cursos de protección de datos personales agregan que esta es al menos la cuarta ocasión este año que MoneyTaker ha logrado acceder a la red de un banco explotando uno de sus enrutadores.
En diciembre de 2017 fue publicado un informe sobre MoneyTaker que afirmaba que la pandilla apunta principalmente a pequeños bancos comunitarios, y que habría robado desde 2016 casi 10 millones de dólares de al menos 20 firmas de servicios financieros con sede en Rusia, el Reino Unido y Estados Unidos.
Cómo se infiltraron los hackers
Los especialistas en cursos de protección de datos personales creen que el ataque comenzó a mediados de mayo, explotando el enrutador en cuestión, lo que no requiere mayores esfuerzos técnicos, ya que pudo ser intervenido simplemente con un ataque de fuerza bruta.
Del enrutador a la red bancaria
Después de explotar el enrutador, los hackers lo usaron para hacer un túnel en la red principal del banco. Desde allí, lograron acceder al cliente de la estación de trabajo automatizada del Banco Central de Rusia, que es un sistema de mensajería interbancaria diseñado para transferencias de fondos similar al sistema de mensajería SWIFT.
Después de acceder a la estación de trabajo automatizada, los hackers pudieron generar órdenes de pago y enviar dinero en varios tramos a las diferentes cuentas preparadas con anticipación.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad