Una revisión exhaustiva del incidente revela cómo pudo llevarse a cabo el robo
Hace un par de semanas empezaron a circular informes que sugerían que Cosmos Bank, el más longevo de la India con 112 años de existencia, se había convertido en una víctima de un ciberataque en el que millones de dólares fueron sustraídos de la institución.
Según informes de especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, el ataque tuvo lugar entre el 10 y el 13 de agosto. Para llevar a cabo el robo, malware fue inyectado en los servidores de cajeros automáticos del banco para robar datos de las tarjetas de los clientes, junto con los códigos SWIFT necesarios para realizar las transacciones. La primera oleada de transacciones fraudulentas incluyó el robo de casi 11.5 millones de dólares en transacciones realizadas en diferentes partes del mundo; en la segunda oleada, realizada el mismo día, los hackers retiraron unos 2 millones de dólares a través de transacciones de tarjetas de débito a lo largo de todo el territorio de India.
Los fondos robados fueron transferidos posteriormente a Hong Kong a través de transacciones fraudulentas de SWIFT.
Milind Kale, Presidente de Cosmos Bank, dijo que el ciberataque se trataba de un esfuerzo global, pues la actividad sospechosa se presentó en 22 naciones. El equipo de ciberseguridad del Banco señaló que Canadá era el país en el que se habían realizado más transacciones fraudulentas. Los informes también sugieren que los atacantes fallaron en su primer intento de comprometer los sistemas del banco, pero no se emitió ninguna advertencia para prevenir a la institución bancaria contra actividades sospechosas.
El lunes pasado, investigadores en ciberseguridad comentaron sobre los posibles métodos utilizados por los hackers, señalando a Corea del Norte como un presunto culpable. Según los expertos, después de que los sistemas del Banco fueron seleccionados para el ataque, posiblemente a través de una campaña de spear phishing, varias infecciones de malware comprometieron la infraestructura interna del banco y la de soporte de cajeros automáticos.
El malware se usó junto con un interruptor central de cajeros infectado. Cuando se implementó la primera etapa del ataque, el malware pudo haber cortado la conexión entre los sistemas centrales y el sistema bancario central para evitar la verificación de las transacciones. Después de que esta conexión fue comprometida, el interruptor central malicioso fue utilizado para manipular los saldos de las cuentas atacadas para permitir retiros no autorizados.
Expertos en ciberseguridad comentaron que en total 2 mil 800 transacciones locales y 12 mil transacciones internacionales se realizaron usando unas 450 tarjetas de crédito clonadas.
El ataque ha sido atribuido a Lazarus Group, una pandilla de hackers conectada con el gobierno norcoreano. El grupo ha sido también asociado con ciberataques de consecuencias devastadoras, como el brote de ransomware WannaCry el año pasado, y los ataques a las instituciones financieras establecidas en Indonesia y Corea del Sur.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad