*

Online

Cayó la "banda de los rusos": robaron 40.000 clientes bancarios por u$s 100 M

Se cree que llegaron a robar US$ 100 millones. Cómo eran sus técnicas y cómo lograron atraparlos.

21 de Mayo 2019
Cayó la "banda de los rusos": robaron 40.000 clientes bancarios por  u$s 100 M

Se requerió el esfuerzo conjunto de seis países (incluídos Ucrania, Estados Unidos y Alemania) para poder desmantelar la banda GozNym. Se trata de un grupo de hackers de diversos países que se especializaron en atacar objetivos bancarios.

Se estima que la red atacó a más de 40.000 víctimas, robando alrededor de US$100 millones. Los hackers utilizaron el poderoso malware bancario llamado GozNym para infectar las computadoras de las víctimas, lo que les permitió obtener los datos de acceso para realizar transacciones bancarias en línea. Europol confirmó hoy que se atrapó a cinco integrantes de alto rango.

La información se usó para robar fondos de esas cuentas, y posteriormente se realizó un lavado de dinero utilizando otras cuentas bancarias de beneficiarios extranjeros. Las víctimas fueron en su mayoría negocios pequeños y empresas como así también instituciones financieras de todo el mundo. 

"Los acusados publicitaron sus servicios y habilidades técnicas especializadas en foros clandestinos en línea donde se habla ruso. La red de GozNym se formó cuando estas personas fueron reclutadas en los foros por el líder del grupo que controlaba más de 41.000 computadoras víctimas infectadas con malware GozNym", dijo el Europol.

GozNym se creó combinando dos poderosos troyanos conocidos: el malware Gozi ISFB, un troyano bancario que apareció por primera vez en 2012 y Nymaim, un descargador de troyanos que también puede funcionar como ransomware.

Los sospechos estaban en la lista del FBI

GozNym es una creación híbrida específicamente codificada para, entre otras cosas, evitar la detección por soluciones de anti virus clásicas (o legacy). Los criminales combinaron el malware Nymaim, encargado de cargar los archivos infectados y que está equipado con capacidades de persistencia, con una infección de segunda etapa que contenía una versión del troyano bancario ISFB de Gozi, de ahí el nombre GozNym.

Aunque Nymaim se usó inicialmente como un dropper ransomware, desde 2015 se empezó a usar en el munco bancario. Se combinó por primera vez con Gozi como una carga útil de segunda etapa a principios de 2016.

El troyano bancario Gozi, también conocido como Ursnif, es un malware cuyo código fuente es bien conocido. La banda de criminales modificó las piezas de software para instalar un rootkit MBR (Master Boot Record) y generar una lista personalizada de servidores C2 utilizando sus propios algoritmos de generación de dominios (DGA).

Sin embargo, el motor principal subyacente de GozNym y las variantes relacionadas, como Dreambot, IAP y PowerSniff, es ISFB, una biblioteca de enlaces dinámicos (DLL) diseñada para analizar y modificar el tráfico HTTP en la computadora de la víctima. Es este componente el que permite a los delincuentes secuestrar las credenciales bancarias del usuario a través de su capacidad para inyectar y manipular las sesiones web de un navegador.

Según Europol, los atacantes ingresaron a las máquinas de sus víctimas a través de una campaña de phishing. Los correos fraudulentos incluían un archivo .doc con macros VBA (órdenes autoejecutables) para descargar el malware.

Hasta el momento, diez personas en cinco países están acusados de conspiración para cometer fraude informático, electrónico y fraude bancario, además de conspiración para cometer lavado de dinero. Cinco de los acusados todavía se encuentran fugitivos, y se cree que están en Rusia y podrían seguir cometiendo delitos en todos los bancos del mundo. 



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Notas Relacionadas