Lazarus (Lázaro), el conocido grupo de hackers, ha sustraído decenas de millones de dólares de cajeros automáticos en Asia y África desde finales del 2016, según informa Symantec
- Desde el 2016, hackers de Lazarus Group han llevado a cabo una operación dirigida a robar dinero de cajeros automáticos
- Lazarus Group está directamente vinculado a Corea del Norte, y se le atribuye el más reciente ataque WannaCry
- Operación FASTCash está diseñada para retirar dinero de cajeros automáticos en forma simultánea en decenas de países
La semana pasada, los expertos en seguridad reportaron a un grupo de hackers altamente sofisticado como el cerebro detrás de una serie de ciberataques problemáticos que han dejado a las empresas financieras en todo el mundo sacudidas desde 2016.
Al establecer vínculos entre una serie de ciberataques globales organizados por una pandilla de ciberdelincuentes, los expertos han logrado desenmascarar un ataque de malware denominado Operación FASTCash.
La operación FASTCash, que tiene como objetivo estafar a los bancos de todo su dinero, apunta a los cajeros automáticos (ATM) en varios países, eliminándolos al mismo tiempo y en una fracción de segundo.
El ataque de malware, que ha dirigido a países de Asia y África desde 2016, comenzó a extenderse a otros continentes de manera más rampante este año.
El mes pasado, las autoridades de los EEUU expresaron su preocupación por el aumento dramático en el número de ataques similares en los últimos meses y sonaron una alerta global.
El gobierno de los EEUU utilizó el nombre en clave ‘Hidden Cobra’ (Cobra Oculta) para el Grupo Lazarus, al que anteriormente se le atribuyó la «actividad cibernética maliciosa del gobierno de Corea del Norte».
El señuelo de ‘FAST CASH’
El 2 de octubre, oficinas gubernamentales de los EEUU, incluyendo el US-CERT, el Departamento de Seguridad Nacional (DHS), el Departamento del Tesoro y el FBI, emitieron una alerta atribuyendo la serie de ataques de cajeros automáticos globales a «Cobra Oculta».
En alerta, las agencias gubernamentales de los Estados Unidos estimaron que hasta la fecha, el grupo Lazarus ha robado decenas de millones de dólares en 30 países diferentes a través de su ‘Operación FASTCash’.
La alerta señaló que «el DHS, el Tesoro y el FBI identificaron el malware y otros indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un plan de retiro de cajeros automáticos».
La declaración también identificó casos específicos, señalando que un incidente en 2017 hizo que se retirara efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes.
También detalló otro incidente importante que tuvo lugar este año, en el que se eliminó el efectivo de los cajeros automáticos en 23 países diferentes.
Los funcionarios de los EEUU señalaron que el grupo había «explotado los sistemas específicos utilizando su conocimiento de la Organización de Normas Internacionales (ISO) 8583, el estándar para la mensajería de transacciones financieras … Lo más probable es que los actores hayan implementado bibliotecas ISO 8583 en los servidores de aplicaciones de conmutadores específicos».
Semanas después de la emisión de la alerta estadounidense, esta semana, la firma de ciberseguridad Symantec publicó los resultados de su propia investigación sobre los ataques cibernéticos coordinados en los cajeros automáticos.
Si bien Symantec también acusa al Grupo Lazarus de llevar a cabo los ataques FASTCash, su investigación condujo a una revelación clave: que los hackers notorios infectan las redes bancarias con el troyano FASTcash.
Symantec explicó en su informe que, en un intento por realizar retiros fraudulentos, Lazarus viola las redes de los bancos seleccionados.
Luego, el grupo compromete a los servidores de aplicaciones del switch que manejan las transacciones en cajeros automáticos.
La firma de ciberseguridad señaló que una vez que se produce la violación, se implementa el malware ‘Trojan.Fastcash’, que luego intercepta las solicitudes de retiro de efectivo de Lazarus ‘fraudulentas’ y envía respuestas de aprobación falsas.
Esto, afirma Symantec, permite a los hackers deshacerse del efectivo de los cajeros automáticos.
En su informe, Symantec escribió: «Está claro que Lazarus posee un profundo conocimiento de los sistemas bancarios y los protocolos de procesamiento de transacciones y tiene la experiencia para aprovechar ese conocimiento con el fin de robar grandes sumas de dinero de bancos vulnerables».
La firma también advirtió: «La reciente ola de ataques FASTCash demuestra que los ataques motivados financieramente no son simplemente un interés pasajero para el Grupo Lazarus y ahora pueden considerarse una de sus actividades principales».
Desenmascarando a los delincuentes globales
Después de permanecer envueltos en el misterio durante la mayor parte de su existencia de una década, el notorio grupo de hackers que operaban como el ‘Grupo Lázaro‘ logró operar de manera discreta, hasta que un atentado ataque cibernético en 2014 los delató.
En noviembre de 2014, un grupo de hackers violaron los sistemas de la destacada empresa estadounidense Sony Pictures Entertainment con un ataque del tipo ‘file wiper’ (borra archivos), lo que dejó paralizados los sistemas de la compañía y filtró al internet terabytes de datos relacionados con la compañía para que el mundo los vea.
Los datos filtrados en línea incluyeron memos confidenciales y correos electrónicos intercambiados entre la alta gerencia de la compañía y algunos personajes y personalidades públicas de alto perfil.
Un grupo de hackers que se identificó como ‘The Guardians of Peace‘ se atribuyó la responsabilidad del ataque y dijo que el ataque se llevó a cabo para protestar por el lanzamiento de una película de Sony Pictures protagonizada por Seth Rogan y James Franco llamada «La entrevista».
Mientras que la Oficina Federal de Investigaciones (FBI) acababa de iniciar una investigación sobre el ataque cibernético, el grupo se vinculó de inmediato con Corea del Norte.
La película que enfureció a los hackers narró una historia ficticia de dos periodistas estadounidenses que fueron reclutados por una agencia de espionaje de los Estados Unidos para asesinar a Kim Jong Un, el líder de la solitaria nación con potencia nuclear, Corea del Norte, a quien van a entrevistar.
Un año después del ataque cibernético, el FBI culpó oficialmente a Corea del Norte por la violación que fue declarada «un asunto serio de seguridad nacional» por el entonces presidente de los Estados Unidos, Barack Obama.
Sin embargo, dos años más tarde, se culpó al Grupo Lazarus por un ataque cibernético aún más grande y mucho más sorprendente, lo que le valió la infamia mundial y el título de ser uno de los grupos de ciberdelincuentes más peligrosos del mundo.
En febrero de 2016, las empresas de seguridad cibernética, al igual que el resto del mundo, expresaron indignación y conmoción cuando una pandilla de hackers reveló sus ambiciosos planes para robar la extraordinaria cantidad de 851 millones de dólares del Banco Central de Bangladesh.
Los piratas informáticos lograron transferir US$81 millones de la red desprotegida del banco.
Investigaciones de varias capas que duraron varios meses finalmente llevaron al desenmascaramiento de los ciberdelincuentes detrás del atroz asalto: el ‘Grupo Lázaro’, que los Estados Unidos denominan ‘Cobra Oculta’
Desde entonces, los notables investigadores cibernéticos de todo el mundo han culpado a esta notoria pandilla por una serie de perturbaciones, sabotajes, robos financieros o ataques de espionaje.
Si bien algunos expertos en seguridad han rastreado la actividad del grupo desde el año 2009, el Grupo Lazarus fue el culpable más reciente del ataque de ransomware WannaCry 2017, que causó un caos global.
El ataque de WannaCry ransomware infectó más de 300,000 computadoras, paralizando los sistemas en 100 países, incluyendo América, Europa, Rusia y China.
En 2013, el grupo fue acusado de atacar a los medios de comunicación y compañías financieras surcoreanas en dos operaciones separadas de ciberespionaje llamadas «Operación Troya» y «Operación DarkSeoul».
Según los expertos, incluidas las agencias gubernamentales de Symantec y EEUU, El ataque FASTCash, el ransomware WannaCry y la violación de Sony, todos llevan el mismo conjunto de huellas dactilares que pertenecen al Grupo Lazarus.
La ‘Operación FASTCash‘ se está calificando como el robo de cajeros automáticos más grande y más dañino del mundo hasta el momento.
Referencias:
Escrito originalmente por Sheetal Sukhija para bignewsnetwork.com