Una
importante compañía de firma de seguridad atribuye el ciberataque realizado al
Cosmos Bank al grupo Lazarus APT.
Este
grupo de cibercriminales aplicaron diversas técnicas de hackeo para vulnerar la
infraestructura SWIFT/ATM del banco, así como mensajes spear phishing.
A
través de un informe la compañía publicó que "Las técnicas de ataque
utilizadas por el actor de amenazas incluyen: uso de las acciones de
administrador de Windows para movimiento lateral, uso de comando y control
personalizado (C2) que imita a TLS, agregando nuevos servicios en objetivos de
Persistencia, cambios en el Firewall de Windows, Timestomping ,
Inyección reflectante de DLL, entre otras técnicas”.
Los
expertos piensan que los cibercriminales abusaron de un software de prueba ATM
de algún proveedor o cambiaron el software de conmutación de pago de cajero y
así pudieron crear un conmutador de proxy malicioso.
Los
cibercriminales ejecutaron operaciones avanzadas con una coordinación altamente
planificada, dirigida directamente a la infraestructura del banco, logrando
evadir tres capas principales de defensa y seguridad publicó la entidad
bancaria.
Por
otra parte, emplearon un interruptor malicioso para enviar mensajes falsos y de
este modo autorizar transacciones fraudulentas, secuestrando al mismo tiempo
los detalles enviados desde el interruptor de paro para evitar que fueran
recibidos por el proveedor de servicios informático, CBS.
Recordemos
que el Cosmos Bank, es una de las entidades bancarias más importantes de la
India, la cual fue víctima de un ciberataque donde los hackers extrajeron más
de 13.5 millones de dólares equivalentes a 940 millones de rupias en tres días.
Durante
la ejecución se realizaron 2.849 transacciones en la India y 12.000
transacciones internacionales utilizando tarjetas de dedito clonadas en 28 país.
Fuente:
Security Affairs
