Carbanak, Cobalt o FIN7, tres nombres, una misma banda, un mismo fin

  • Reportajes

En este reportaje encotnrarás algunos detalles sobre una de las bandas de ciberdelincuentes más conocida de nuestra época.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Corría el año 2014 cuando la empresa de seguridad Kaspersky anunció haber descubierto una campaña contra instituciones financieras. Explicaba la compañía que se trataba de un tipo APT (Advanced Persistent Threats) porque, aunque sí era persistente, en realidad no era avanzado, y en lugar de datos lo que buscaban era dinero.

Los ciberdelincuentes, que más tarde fueron bautizados con el mismo nombre del malware que utilizaban, Carbanak, se infiltran en la red de la víctima, fundamentalmente a través de correos de phishing, buscando un sistema crítico que pudieran aprovechar para extraer dinero. Después de robar entre 2,5 y 10 millones de dólares por entidad, abandonan a la víctima.

Entre las características de la banda, no sólo el dirigirse casi exclusivamente a entidades bancarias y de pagos, alejándose de los usuarios, sino ser capaces de utilizar técnicas extraídas del arsenal de ataques dirigidos; ser capaces de manipular sus accesos, ajustándose a las redes de cada banco para poder robar dinero de diferentes formas.

Explican los expertos que, en determinadas situaciones, se instruyó a los cajeros para que dispensaran efectivo sin tener que interactuar localmente con ellos; después las llamadas mulas lo recogían y lo transferían a las cuentas de los cibercriminales. Se sabe de un banco que perdió 7,3 millones de dólares porque sus cajeros automáticos estaban programados para arrojar efectivo en ciertos momentos que los esbirros recolectaban.

Además de Kaspersky, otras empresas y entidades han estudiado los movimientos de la banda, a la que se cree procedente de Rusia. Entre ellas FireEye, que se refiere al grupo como FIN7 o Proofpoint, que también publicó una investigación asociando esta banda con la puerta trasera Bateleur. El 26 de marzo de 2018, y a raíz de una investigación llevada a cabo por la policía española en cooperación con la de otros países, Europol aseguró haber arrestado al jefe de Carbanak en Alicante.

Expertos ciberdelincuentes

La diversificación de sus tácticas ha permitido que el grupo haya impactado en una amplia gama de industrias, además de las financieras, como restaurante, hospitales, educación, retail, comunicaciones, energía…

El seguimiento realizado por FireEye de las campañas de FIN7, le ha permitido detectar novedosas campañas y operaciones bien dotadas de recursos. Como ejemplo la firma de seguridad explica que en abril de 2017 el grupo aprovechó los archivos de acceso directo ocultos (archivos LNK) para iniciar la infección y la funcionalidad VBScript lanzada por mshta.exe para infectar a la víctima; “Esto fue una desviación directa de su uso establecido de macros de Office armadas y resaltó la naturaleza adaptativa del grupo para evadir la detección”, dice FireEye.

También resalta la compañía el uso por parte de FIN7 de la puerta trasera Carbanak como una herramienta posterior a la explotación para consolidar su punto de apoyo en una red y mantener el acceso a los entornos de las víctimas.

Conocido desde 2013 por su uso en ataques rentables y sofisticados, se atribuye un uso “particularmente notable” de Carbanak a FIN7. Explica FireEye que el grupo aprovechó una base de datos de corrección de aplicaciones que inyectó un parche en memoria malicioso en el proceso Services Control Manager ("services.exe"), y luego generó un proceso de puerta trasera CARBANAK. FIN7 también utilizó esta táctica para instalar una utilidad de recolección de tarjetas de pago.

Otra característica notable de FIN7 ha sido su gran uso de certificados digitales. “Al firmar digitalmente sus documentos de phishing, puertas traseras y herramientas de etapas posteriores, FIN7 pudo eludir muchos controles de seguridad que pueden limitar la ejecución de macros desde documentos de Office y restringir la ejecución de binarios sin firmar en sistemas confiables”, explica FireEye.

Según las autoridades europeas, el grupo criminal desarrolló más tarde un sofisticado troyano bancario llamado Cobalt, basado en el programa de pruebas de penetración Cobalt Strike, que estuvo en uso hasta 2016.

Picaresca en la web

El tiempo no sólo ha servido para mantener en activo a la banda, sino para mejorar la calidad de sus señuelos y las plantillas de sus mensajes de phishing. Según la investigación de FireEye en las tiendas individuales, se estableció contacto con los gerentes sobre los artículos perdidos o se les envió un "recibo" en el que se reclamaba una sobrecarga. Otros correos electrónicos de phishing de FIN7 se enmascararon como pedidos detallados de catering o solicitudes de menús especiales adaptados a personas con restricciones dietéticas.

A principios de 2017 se detectó un patrón de quejas que ha continuado durante más de un año, donde FIN7 se ha puesto en contacto con tiendas y oficinas corporativas para presentar quejas de intoxicación alimentaria con adjuntos maliciosos.

Detenciones

En lo que va de año tres miembros de la banda que se calcula que podría llevar acumulados más de diez mil millones de dólares en robos y fraudes, han sido detenidos y acusados de 26 delitos graves. Los sospechosos son Dmytro Fedorov, de 44 años; Fedir Hladyr, de 33; y Andrii Kopakov, de 30, todos procedentes de Ucrania.

Según un comunicado publicado este verano por el Departamento de Justicia de Estados Unidos, cada uno de ellos ha sido acusado de 26 cargos de conspiración, fraude electrónico, piratería informática, fraude de dispositivos de acceso y robo de identidad agravado.

Hladyr fue detenido en Dresde, Alemania; Fedorov en Polonia; y Kolpakov en España. Este último se escondía en Alicante, con su mujer y su hijo, y su detención fue el fruto de una de las detenciones más importantes contra la ciberdelincuencia a nivel mundial, en la que participaron Europol el FBI y estuvieron implicados varios países.