Ataques informáticos a distintos bancos en América Latina llevan consigo señales de ser perpetrados por Corea del Norte, de acuerdo a tres personas con conocimiento en la materia.
Varios incidentes de alto perfil recientemente revelados, incluidas violaciones a bancos en Chile (Banco de Chile) y México (Banco Nacional de Comercio Exterior), involucraron el uso de malware destructivo después de tratar de utilizar el sistema de pagos SWIFT para extraer capital mediante operaciones fraudulentas, informa el Instituto Internacional de Seguridad Cibernética. Dos fuentes analizaron información interna sobre las investigaciones de estas violaciones, las cuales siguen en curso. Reportes técnicos confidenciales se están compartiendo al interior de grupos privados de intercambio de información compuestos por otras instituciones financieras.
Históricamente, el único grupo de hackers conocido por manipular el sistema SWIFT asociado a algún Estado Nación se encuentra vinculado con el régimen de Corea del Norte. Aun no está claro cómo los hackers vulneraron la seguridad de los bancos, campañas de phishing y reutilización de contraseñas parecen ser una opción. Como resultado de esto, un total de más de 15 millones de dólares ha sido robado en los meses recientes.
Se ha buscado a Bancomext y al Banco de Chile para un pronunciamiento, pero no se ha obtenido respuesta.
En medio de un esfuerzo diplomático de los Estados Unidos por establecer mejores relaciones con Corea del Norte, esta cadena de ataques informáticos dispara las alertas para otras instituciones financieras, especialmente en América Latina, Europa del este, y sureste de Asia. Específicamente en estas tres regiones, grupos de hackers ligados al régimen Norcoreano han incrementado sus acciones, informan fuentes especializadas en información y cursos de seguridad informática.
En un comunicado, portavoces del sistema SWIFT sostienen que “SWIFT no atribuye a nadie en específico la responsabilidad de los ataques, esa es tarea de las agencias de la ley. Lo que SWIFT sí puede decir es que las amenazas informáticas que las comunidades financieras encaran son cada vez más sofisticadas… no sabemos de evidencia que pruebe que la red de SWIFT para servicios de mensajería haya estado bajo amenaza. En lugar de esto, en cada uno de los incidentes los clientes sufrieron primero violaciones de seguridad al interior de sus propios entornos”.
“Una vez dentro, los atacantes recurrieron a explotar vulnerabilidades para robar credenciales, generar mensajes fraudulentos e iniciar de manera irrevocable el proceso de transferencia”, describen los portavoces de SWIFT, agregando que la empresa no comentará sobre los incidentes de forma individual, para resguardo de identidad de sus clientes.
“Al final, los atacantes también poblaron el sistema de comunicados y confirmaciones a manera de cortina de humo, lo que retrasa la capacidad de la víctima para reconocer el fraude”.
Las tácticas de distracción descritas por SWIFT han llegado en gran parte en forma de malware wiper desde 2017, herramienta que destruye los datos de los sistemas infectados.
Las evaluaciones que atribuyen los ataques a un grupo de hackers vinculado a Corea del Norte fueron descritas a especialistas en cursos de seguridad informáticacomo de “confianza media”, acorde a un análisis interno de las herramientas, tácticas y procedimientos del grupo atacante.
Variantes de los diferentes programas maliciosos encontrados en los múltiples incidentes, como “MBR Killer” y “KillDisk” provocaron que los sistemas borraran datos de arranque y otros registros forenses informáticos. Los hackers norcoreanos han estado empleando una combinación de diferentes wipers en sus ataques.
Especialistas en cursos de seguridad informática afirman que el grupo que atacó a los bancos en México utilizó ambos tipos de malware en el proceso, además agregan que este tipo de ataques son frecuentes en el sector financiero y se han vuelto más comunes a nivel global.
El malware KillDisk ganó notoriedad en 2016, cuando un grupo de hackers ligado a Rusia utilizó esta herramienta para interrumpir los sistemas de control de la red eléctrica de Ucrania.
De igual modo, el mundo supo del malware MBR Killer a causa de una agrupación rusa de crimen cibernético, quienes lograron de manera exitosa robar millones de rublos de los bancos rusos. Hace algunos años, el código completo del MBR Killer fue publicado en un foro dedicado al crimen informático, hecho que contribuyó a que fuera utilizado por un amplio número de hackers.
Exponer el código del MBR Killer a una gran audiencia dificultó la labor de atribución, sin embargo, analistas forenses informáticos han encontrado rastros que apuntan al grupo norcoreano “Lazarus Group” como culpable de los ataques en América Latina.
En entrevista con medios locales, Eduardo Ebensperger, CEO del Banco de Chile, afirmó que el objetivo de los hackers era dañar al banco, no a sus clientes; hecho que empata con los patrones de conducta de este grupo de piratería informática descritos por especialistas en cursos de seguridad cibernética.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
