user_mobilelogo
  • 017_header_ojito_con_la_red.jpg
    https://www.viveinternet.es/images/headers/017_header_ojito_con_la_red.jpg
  • 028_header_OCTSI.jpg
    https://www.viveinternet.es/images/headers/028_header_OCTSI.jpg
  • Plantilla-Entrate.jpg
    https://www.viveinternet.es/images/headers/Plantilla-Entrate.jpg
  • TIC-izate.jpg
    https://www.viveinternet.es/images/headers/TIC-izate.jpg
  • Protegete.jpg
    https://www.viveinternet.es/images/headers/Protegete.jpg
  • Copy-of-ViveInternet-.jpg
    https://www.viveinternet.es/images/headers/Copy-of-ViveInternet-.jpg

Video descriptivo del procedimiento y alcance del robo. Video: Kaspersky Lab / YouTube

Bancos de más de 20 países han sido víctimas durante los últimos dos años de ciber-robos por parte de una banda de nombre Carbanak, integrada por delicuentes de Rusia, Ucrania y China. Es un giro en la metodología. No atacan a clientes: acceden directamente al banco.

La empresa de seguridad informática Kaspersky Lab, Interpol y Europol, junto a organismos de diferentes países, han aunado esfuerzos para desvelar la trama criminal detrás de un ciber-robo sin precedentes. Durante dos años la banda Carbanak se hizo con cerca de 1.000 millones de euros sustraídos de entidades bancarias repartidas por todo el mundo. Los países afectados fueron Rusia, Estados Unidos, Alemania, China, Ucrania, Canadá, Hong Kong, Taiwan, Rumanía, Francia, España, Noruega, India, Reino Unido, Polonia, Pakistán, Nepal, Marruecos, Islandia, Irlanda, República Checa, Suiza, Brasil, Bulgaria y Australia.

El procedimiento consistía en obtener acceso al ordenador de alguno de los empleados del banco mediante suplantación de identidad vía el malware Carbanak. Hecho esto, los ciberdelincuentes eran capaces de acceder a ordenadores de Administración de Sistemas y poder desde éstos analizar la actividad en las pantallas del personal a cargo de transferencias y grabarla. De esta forma, los delincuentes eran capaces de reproducir exactamente cada paso a realizar para efectuar una transferencia.

Actuando por oleadas, se estima que aquélla en la que una mayor cantidad de dinero se sustrajo supuso un total cercano a los 10 millones. El robo a cada entidad se fraguaba durante entre dos y cuatro meses, tiempo que transcurría desde la infección de un primer ordenador en la red del banco hasta que el dinero era finalmente obtenido.

Los robos se iniciaron en 2013 y, desde entonces, casi 100 entidades y sistemas de pago se han visto afectados en mayor o menor medida.

Según Kaspersky Lab son signos de infección en un ordenador de un banco, los siguientes:

  1. Existen archivos con extensión ".bin" en la ruta \All users\%AppData%\Mozilla o en c:\ProgramData\Mozilla
  2. Hay un fichero svchost.exe en Windows\System32\com\catalogue
  3. Entre los servicios activos en Windows figuran entradas acabadas en "sys" que duplican a un servicio similar almacenado sin el "sys"

Para más información sobre Carbanak puedes acceder al blog de Securelist.

 

Fuente: Elaboración propia

Referencias:

- Kaspersky Lab