Los hackers que atacaron a los bancos rusos planeaban cibertaques a nivel internacional

Los hackers rusos usaron malware instalado en dispositivos móviles Android para robar los datos bancarios a los clientes de banca online, y planeaban ciberatacar a prestamistas europeos antes de ser arrestados, confirmaron los investigadores y fuentes con conocimiento del caso.

Su campaña alcanzó una suma relativamente pequeña por los estándares de delincuencia cibernética, más de 50 millones de rublos (785.000 euros); pero también se habían agenciado un software sofisticado para obtener modesta cuota mensual de los clientes de bancos en Francia y posiblemente de otras naciones occidentales.

La relación de Rusia con el delito cibernético está bajo un intenso escrutinio después de que funcionarios de inteligencia estadounidenses alegaron que los hackers rusos habían tratado de ayudar al republicano Donald Trump a ganar la presidencia de Estados Unidos al hackear servidores del Partido Demócrata.

El Kremlin ha negado repetidamente la acusación, como es lógico…

Los miembros de las ciberpandillas engañaron a los clientes de los bancos rusos para que descargaran malware a través de falsas aplicaciones de banca móvil, así como a través de programas de pornografía y comercio electrónico, según un informe compilado por la empresa de seguridad cibernética Group IB que investigó el ataque al Ministerio del Interior ruso.

Los hackers

Los delincuentes, 16 sospechosos fueron detenidos por las autoridades policiales rusas en noviembre del año pasado, infectaron más de un millón de teléfonos inteligentes en Rusia, comprometiendo en promedio a 3.500 dispositivos al día, declaró el Grupo IB.

Los hackers apuntaron a los clientes del prestamista estatal Sberbank, y robaron dinero de cuentas de Alfa Bank y de la compañía de pagos en línea Qiwi, explotando las debilidades de los servicios de transferencia de mensajes de texto SMS de las compañías, dijeron dos personas con conocimiento directo del caso.

Aunque operaban solo en Rusia antes de su detención, habían desarrollado planes para dirigirse a grandes bancos europeos, incluyendo a los prestamistas franceses Credit Agricole, BNP Paribas y Societe General, según el Grupo IB.

Una portavoz de BNP Paribas dijo que el banco no pudía confirmar esta información, pero añadió que «tiene un conjunto significativo de medidas en vigor destinadas a combatir los ataques cibernéticos a diario«. Societe General y Crédit Agricole declinaron comentar.

La ciberbanda, que se llamaba «Cron» por el malware que utilizaba, no robó fondos a los clientes de los tres bancos franceses. Sin embargo, hackeó el servicio bancario en Rusia, que permite a los usuarios transferir sumas pequeñas a otras cuentas mediante el envío de un mensaje SMS.

Habiendo infectado los teléfonos de los usuarios, la ciberpandilla envió mensajes SMS a esos dispositivos instruyendo a qué bancos habían de transferir el dinero, que como es lógico, correspondían a las propias cuentas de los hackers.

Los hackers

Lukas Stefanko, un investigador de malware en la firma de seguridad cibernética ESET en Eslovaquia, dijo que los resultados ilustran los peligros del uso de mensajes SMS para la banca móvil, un método favorecido en países emergentes con una infraestructura de Internet menos avanzada.

«Se está volviendo popular entre los países en desarrollo, donde el acceso a la banca convencional es difícil para la gente», dijo. «Para ellos es rápido, fácil y no necesitan visitar un banco … Pero la seguridad siempre tiene que superar la conveniencia del consumidor«.

Cibercriminales

El Ministerio del Interior ruso dijo que varias personas habían sido arrestadas, incluyendo al que describió como el líder de la banda. Éste era un hombre de 30 años que vivía en Ivanovo, una ciudad industrial 300 kilómetros al noreste de Moscú, de donde él había comandado a un equipo de 20 personas a través de seis regiones rusas.

Cuatro personas permanecen detenidas mientras las otras están bajo arresto domiciliario, dijo el ministerio en un comunicado.

«En el curso de 20 búsquedas en las seis regiones, la policía se apoderó de ordenadores, cientos de tarjetas bancarias y tarjetas SIM registradas bajo nombres falsos«, dijo.

El grupo IB dijo que la existencia del malware Cron se detectó por primera vez a mediados de 2015, y en el momento de los arrestos los hackers lo habían estado usando hacía menos de un año.

Los hackers «Cron» fueron arrestados antes de que pudieran montar ataques fuera de Rusia, pero los planes para hacerlo estaban en una etapa avanzada, dijeron los investigadores.

Los hackers

El grupo IB dijo que en junio de 2016 habían alquilado un “pedazo de malware” diseñado para atacar sistemas de banca móvil, llamado «Tiny.z» por 1.780 euros al mes. Los creadores del malware «Tiny.z» lo han adaptado para atacar bancos de Gran Bretaña, Alemania, Francia, Estados Unidos y Turquía, entre otros países.

La pandilla «Cron» desarrolló un software diseñado para atacar a los prestamistas incluyendo a los tres grupos franceses, dijo, agregando que había notificado a estos y a otros bancos europeos en riesgo.

Una portavoz de Sberbank dijo que no tenía información sobre el grupo implicado. Sin embargo, dijo: «Varios grupos de ciberdelincuentes están trabajando contra Sberbank, el número de grupos y los métodos que usan para atacarnos cambian constantemente«.

Google, el fabricante de Android, ha tomado medidas en los últimos años para proteger a los usuarios de la descarga de código malicioso y bloqueando las aplicaciones que son inseguras, o que suplantan a las empresas legítimas o participan en comportamientos engañosos.

android malware logo rojo Merca2.es

La compañía se negó a comentar esta historia, diciendo que no habían visto el informe del Grupo IB.

Aplicaciones móviles falsas

Las autoridades rusas, bombardeadas con acusaciones de piratería patrocinada por el Estado, desean mostrar que Rusia también es una víctima frecuente del ciberdelito y que están trabajando duro para combatirlo. Los ministerios del interior y emergencias, así como Sberbank, dijeron que fueron blanco de un ciberataque global a principios de este mes.

Desde las acusaciones sobre la piratería de las elecciones en Estados Unidos, han surgido pruebas adicionales de lo que algunos funcionarios occidentales dicen que es una relación simbiótica entre los ciberdelincuentes y las autoridades rusas, con los hackers autorizados a atacar objetivos extranjeros con impunidad a cambio de cooperar con los servicios de seguridad.