Los hackers de Lazarus han estado utilizando el troyano FastCash en servidores AIX obsoletos para robar decenas de millones de dólares
Los investigadores de la firma de seguridad informática y forense digital Symantec han descubierto la herramienta de malware que Lazarus, el famoso grupo de hackers de Corea del Norte ha estado utilizando desde hace un par de años para extraer millones de dólares en efectivo de cajeros automáticos pertenecientes a pequeños y medianos bancos establecidos en África y Asia.
En un informe publicado hace unos días, la firma de ciberseguridad describió el malware como “una herramienta diseñada para interceptar y aprobar solicitudes fraudulentas de retiro de efectivo en cajeros automáticos antes de que estas lleguen al servidor de aplicaciones de conmutación subyacente del banco que las procesa.”
Este malware es un archivo ejecutable que puede ser inyectado en un proceso legítimo en los servidores de aplicaciones que ejecutan el sistema operativo AIX de IBM. Todos los servidores de aplicaciones que los hackers de Lazarus han logrado comprometer con este malware estaban ejecutando versiones no compatibles de AIX, menciona el reporte de seguridad.
“El robo no sólo afecta a los bancos, sino a cualquier organización que ejecute un entorno de producción con equipos y software obsoleto o no compatible”, declara Jon DiMaggio, jefe de inteligencia de Symantec.
La pérdida financiera y el golpe mediático que acompañan a los ataques de Lazarus superan con creces el costo de actualizar la infraestructura obsoleta. “Como mínimo, las instituciones financieras deben usar sistemas y software actualizados y compatibles para minimizar el riesgo tanto de pérdidas monetarias como de datos confidenciales de los clientes,” consideran especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.
En un aviso publicado el 2 de octubre, el FBI, el Departamento de Seguridad Nacional y el Departamento del Tesoro de EU, mencionaron que los ataques de la campaña FatCash, como se le conoce en América, ha representado costos para los bancos de incluso decenas de millones de dólares. En el aviso se reportan dos incidentes en particular, uno en 2017 y otro en 2018, donde los hackers de Lazarus perpetraron retiros de efectivo simultáneos en cajeros a lo largo de más de 20 países.
Según el aviso, en cada uno de los múltiples ataques de Lazarus, el grupo de hackers configuró e implementó scripts legítimos en los servidores de la aplicación para interceptar y responder a solicitudes fraudulentas de retiro de cajeros automáticos.
Pero la investigación de Symantec ha demostrado que el ejecutable que permite la actividad fraudulenta es, de hecho, un malware. Symantec ha bautizado al malware como ‘Trojan.Fastcash’, mencionando que cumple con dos funciones principales.
Acorde a los especialistas en forense digital y ciberseguridad, una de estas funciones es monitorear y leer el número de cuenta principal (PAN) en todo el tráfico entrante de los cajeros automáticos. El malware está diseñado para bloquear todo el tráfico que contiene los PAN identificados previamente como pertenecientes a los atacantes. A continuación, genera una respuesta falsa que aprueba la solicitud fraudulenta, de este modo los atacantes aseguran que sus solicitudes fraudulentas tendrán éxito.
Los hackers decidieron atacar bancos más pequeños y con menos recursos tecnológicos en lugares como Asia y África; pensando en que, probablemente, las instituciones financeiras más grandes contarían con mejores medidas de seguridad, considera DiMaggio. “La versión vulnerable del servidor AIX era simplemente lo que estaba en el entorno al que se dirigía el atacante. No era la pieza impulsora del ataque, sino una característica del entorno específico al que tenía acceso el atacante”, señala el experto.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad