SUSCRÍBETE
Gustavo Macias
Gustavo Macias

Director de Tecnología y Sistemas en Banco KEB Hana México (CIO / CTO) Experiencia en Infraestructura, operaciones de TI y gestión de proyectos.

Los ataques al sector financiero ahora son cada vez más frecuentes y sofisticados. Los más comunes son los que incluyen software llamado “Ransomware”. El término con el que comienza, “ransom”, es una palabra inglesa que significa “rescate”. El Ransomware es un software de extorsión: Su finalidad es impedirte usar tu dispositivo (Tableta, Laptop, Teléfono inteligente, USB, etc.) hasta que se haya pagado un rescate.

La operación se realiza mediante esfuerzos de trabajo en equipo y distribuidos a lo largo del mundo usando servicios “bajo el radar” con vectores de ataque de intenciones maliciosas y software agente de acceso como servicio (RaaS- Ransomware-as-a-Service). Los propietarios del Ransomware son los que negocian los rescates a pagar por las entidades financieras si éstas quieren recuperar su información. En la actualidad, se ha modernizado el modelo de negocio para diseñar ataques basados ​​en servicios específicos financieros como Cajeros automáticos (ATMs) o Puntos de Venta (POS) mediante tarifas escalonadas de rescate basadas en el éxito, complejidad y alcance de los objetivos.

Ahora los ataques son de una extorsión moderna, difícil de proteger para las entidades financieras de los mismos.

Esquemas de monetización del Ransomware

La monetización de los ataques ha cambiado especialmente por dos razones. Primero, las organizaciones financieras están mejorando en defensa cibernética, lo que reduce la cantidad de objetivos fáciles y requiere que los atacantes utilicen un enfoque más específico. En segundo lugar, los delincuentes están utilizando nuevas tecnologías para crear ataques más potentes, inteligentes, mejor dirigidos y más sofisticados, que incluyen:

  • El aumento en la potencia informática de las máquinas actuales, esto proporciona a los ciberdelincuentes la capacidad de automatizar más detallada y profundamente el procesamiento y vector del ataque recopilando información adicional sobre las víctimas.
  • La disponibilidad de bases de datos públicas y privadas en la nube con bajo o nulo nivel de seguridad usando herramientas de automatización que ayudan a realizar una categorización precisa de las víctimas según su ubicación, nicho al que atienden, importancia, ingresos, renombre en el mercado, etc.
  • La capacidad de iniciar transferencias de dinero transfronterizas anónimas de alto volumen utilizando criptomonedas y mezcladores de criptomonedas.
  • Uso extensivo de plataformas de comunicación mundial permitiendo interacciones seguras, interactivas, anónimas y con una mayor colaboración entre diferentes grupos de ciberdelincuentes y ciber bandas a nivel mundial.

Todo este sofisticado sistema de ataque tiene como objetivo la personalización del objetivo y de los recursos afectados. Antes usaban la táctica de “rociar y rezar”, la cual funciona como sigue: No se dirigen a una persona o servicio específico, sino que, mediante el envío de correos electrónicos genéricos a los buzones de los empleados bancarios con un solo objetivo: La esperanza de que alguna víctima desprevenida haga clic en el enlace, descargue el archivo o sigan las instrucciones en el mensaje del correo electrónico para descargar la primera parte del software malicioso. Con lo anterior, el proceso de ataque es más simple, amplio y disperso buscando llegar a mas dispositivos / personas con menor esfuerzo.

Sin embargo, esa táctica de "rociar y rezar" es menos útil, los vectores más dañinos están personalizando los ataques. Esto significa estudiar y generar un perfil profundo a quién será dirigido el ataque y determinando un precio previo de rescate específico para las víctimas. Los delincuentes ahora tienen la capacidad de infiltrarse en la red y dedicar todo el tiempo que sea necesario a buscar e identificar los activos de mayor valor. Así las ciber bandas saben mucho más sobre el objetivo, incluida la cantidad de empleados, las cifras de ingresos, la cantidad de transacciones diarias, etc. Esta personalización también permite a los atacantes estimar posibles cantidades de rescate por cada víctima financiera.

Ataques modernos de Ransomware

El proceso moderno de los ataques de Ransomware tiene varios pasos adicionales que permite generar ataques personalizados. El proceso comienza con una identificación de activos tecnológicos valiosos y continúa con su categorización para luego identificar la infraestructura. Según la información compartida en los últimos incidentes, las bandas de Ransomware utilizan generalmente estos pasos para personalizar el ataque:

  • Organizar el acceso alternativo a la red
  • Determinar los activos y procesos más valiosos
  • Tome el control de activos valiosos, procedimientos de recuperación y copias de seguridad
  • Extraer datos

Los ataques de "Ransomware premoderno", inicialmente cifrarían los datos y extorsionarían a las instituciones financieras basándose en el cifrado. Ahora, en el nuevo proceso agrega dos nuevos pasos: extorsionar a las instituciones financieras basándose en el amago de la exposición de los datos y luego, si no es pagado el rescate, exponerlos realmente.

Se ha identificado que los ataques de Ransomware no son un trabajo de un solo grupo de hackers; la colaboración es la nueva tendencia. La cadena completa de ataque a menudo involucra a dos o más grupos que son responsables de las diferentes etapas del proceso ataque. Un grupo es propietario del software Ransomware, otro controla la infraestructura comprometida distribuyendo el malware. Los dos grupos generalmente acuerdan una división de 20/80 o 30/70 sobre las ganancias. La parte más pequeña va para el grupo que proporciona el Ransomware, mientras que la mayor parte de las ganancias se destina al grupo que maneja el acceso a la red e implementa la fase activa del ataque.

A veces, incluso hay subcontratistas involucrados en el proceso que se especializan en procesos especializados como la "escalada de privilegios, movimiento lateral y toma completa de la infraestructura de las víctimas". Estos especialistas de “procesos especiales” cobran tarifas basadas en la cantidad de acceso que desea un atacante que van desde decenas de dólares por un activo de víctima aleatorio, hasta varios cientos o incluso miles de dólares por un activo categorizado como el acceso a la infraestructura de una gran institución que puede costar varios cientos de miles de dólares.

El rescate es una de las muchas oportunidades de monetización

Otro elemento importante de este ataque financiero y delito cibernético es que a menudo hay "ciclos de vida de monetización paralelos" en un solo ataque. Esto hace que sea aún más difícil detectar el problema y recuperarse del mismo. Existen ocho pasos en la cadena de muerte cibernética:

  • Reconocimiento
  • Intrusión
  • Explotación
  • Escalada de privilegios
  • Movimiento lateral
  • Ofuscación / antiforense
  • Negación de servicio
  • Exfiltración

Se recomienda que los equipos de seguridad de las instituciones lean e investiguen sobre los componentes y servicios actuales que se ofrecen en el mercado de seguridad de la información, para ver dónde encaja una determinada pieza de malware en la cadena de eliminación. Si se utiliza a menudo al principio de la cadena, los defensores deben asumir que las etapas posteriores pueden haber sido desplegadas y también deben ser investigadas.

Incidentes de seguridad en el sistema financiero más importantes del 2020

  • Condusef, SAT y BANXICO: un ataque coordinado
  • Función Pública y las declaraciones patrimoniales
  • Vulneración de datos personales en el ISSSTE
  • Extorsión a la Comisión Nacional de Seguros y Fianzas
  • Clientes de “Yo te Presto”, afectados
  • Configuración equivocada de GENTERA
  • Software malicioso en los sistemas de CI Banco
  • Banco Base: Fallas e Intermitencias por un Ciberataque
  • La información de 4.7 millones de clientes de CLIP
  • Datos de quejas y denuncias de la ADIP, vulnerados
  • iVoy: Datos de 147,000 clientes a disposición de quien sea
  • Un hackeo atormenta a BITSO


Fuentes:
https://www.eleconomista.com.mx/tecnología/2020-en-12-hackeos-o-incidentes-de-seguridad-en-Mexico-20210102-0007.html
https://www.elfinanciero.com.mx/2021/06/04reconoce-banxico-16-hackeos-a-bancos/)

Visitas: 68

ARTICULOS RELACIONADOS

¿Qué es y cómo trabaja un CSIRT para dar respuesta a incidentes?

Principales características y los beneficios de contar con personal que integre estrategias en ciberseguridad.

concientización en ciberseguridad csirt cultura de seguridad Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 46

México es el segundo país en América Latina con más negocios hackeados

En lo que va de 2021, el 22.8% de los ciberataques están dirigidos a empresas en México.

ciberataques kaspersky negocios cackeados Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 39

¿Qué es un plan de concienciación de seguridad informática?

La única defensa conocida para los ataques de ingeniería social es un programa efectivo de concienciación de seguridad.

ciberseguridad concientización en ciberseguridad cultura de seguridad Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 43

COMENTARIOS

SUSCRÍBETE

help_outline