ciberataque lima

Crónica del ciberataque a entidades bancarias peruanas

Como empresa que presta servicios de Seguridad Gestionada a sus clientes, nuestro deber es informar sobre los hechos ocurridos de manera objetiva y veraz. 

El pasado viernes 17 de agosto del presente año, todos fuimos testigos por la redes sociales como varios usuarios comenzaron a quejarse por la falla en los sistemas de ciertos bancos peruanos. 

 

Esto encendió las alarmas, y hasta cierto punto causó pánico entre los usuarios de los bancos afectados, ya que en varios casos no pudieron hacer sus transacciones bancarias con normalidad.

A partir de este punto comenzaron a correr diversos rumores sobre el hecho y esto abrió paso a las especulaciones, sin embargo analicemos los hechos.

Alertas sobre Ciberataques

Como mencionamos en el pasado post “Alerta en las entidades públicas peruanas por incremento de ciberataques”, varias empresas especializadas en ciberseguridad, entre las cuales se encuentra nuestro Partner Fortinet, están alertando sobre esta problemática que cada día preocupa a los gerentes de TI.

Luego la misma semana del ciberataque, el FBI informó que se espera un ataque global a cajeros automáticos llevado a cabo por hackers capaces de robar información y clonar tarjetas.

La agencia sostuvo que hay indicios de que cibercriminales se están preparando para realizar un ataque coreografiado a escala global.

Según el reporte, los criminales usarían un malware para poder ingresar a la red de cajeros y obtener información de las tarjetas de los usuarios. Además, se reportaba que este grupo, incluso, podía eludir controles de los bancos como los montos mínimos de retiro, entre otros.

Que sucedió el día del ciberataque a los bancos del Perú

A partir de este punto todo se torna muy confuso, ya que las entidades bancarias negaron el hecho, el día que ocurrió, lo cual es lógico, porque es necesario evitar nerviosismo por parte de sus usuarios, dado que las entidades financieras trabajan con la confianza que les dan las personas al depositar su dinero en sus arcas.

A partir de este momento los usuarios de las redes sociales entraron en ‘pánico’ luego de la difusión de varios mensajes que hace referencia a un supuesto ‘ataque cibernético’ por parte de hackers a los sistemas de los distintos bancos en Lima metropolitana.

A través de estos mensajes se advertía de la posible propagación del virus RANSOMWARE por lo que pedían a los usuarios y trabajadores de bancos que no abrir archivos y correos sospechosos.

Además, se alertaba a los clientes de dichas entidades financieras que eviten realizar transacciones en línea hasta que se solucione este  ‘ataque’.

Otros mensajes alertaban sobre un “Ataque de día Cero” el cual es un término usado en ciberseguridad para referirse a la ejecución de código malicioso, dirigido a una brecha de seguridad desconocida por el fabricante y aprovechada por los ciberdelincuentes.

En este tipo de ataque, los gerentes y personal de TI deciden cerrar todos los servicios en sus centros de datos para lograr contener los ataques y evitar que se expandan. Por tal motivo se reportaron el cese de las operaciones en diversas sucursales bancarias.

Los días después del ciberataque.

Luego del viernes, los organismos y entidades bancarias comenzaron a informar más sobre el hecho, entre ellos el más importante es la Asociación de Bancos del Perú (Asbanc) que, en un comunicado, confirmó una serie de ataques a entidades financieras que buscaba vulnerar la seguridad de los bancos.

Asbanc informó: “Desde las 3 de la mañana de hoy (viernes) se venían realizando una serie de ataques cibernéticos contra agentes del sistema financiero mundial.

En el caso peruano, ni bien se recibió la alerta, los asociados a Asbanc activaron sus protocolos de seguridad y han monitoreado sus sistemas”, se lee en el comunicado.

De este modo, Asbanc confirmó que los intentos de ataque realizados este viernes fueron repelidos con éxito por la banca y no tuvieron consecuencias.

Ante la duda que el ataque generó entre los usuarios, la Superintendencia de Banca, Seguros y AFP (SBS) pidió suspender o limitar temporalmente el uso de algunos servicios para así protegerse ante cualquier robo de datos.

Respuesta de los bancos

Los bancos en nuestro país negaron que los intentos de ataque hayan tenido resultados perjudiciales. Uno de los bancos comentó que no ha sufrido ninguna incidencia en su sistema operativo y subrayó que su atención se mantuvo con normalidad en todas sus plataformas.

En tanto, otro banco difundió un comunicado donde reportaba el normal funcionamiento de sus servicios. “El público puede realizar sus operaciones por app, web, cajero automático y todos los canales funcionan con total normalidad”, señaló.

Otros más comunicaron a los medios haber sufrido “un incidente temporal” en sus oficinas financieras que estaba siendo atendido a la brevedad.

El ciberataque tuvo una planificación de meses.

Según nuestro experto en ciberseguridad Juan Carlos Albujar, en una entrevista a un diario local sobre el ciberataque expreso: “Es de considerar que los atacantes invirtieron bastante tiempo en investigación de los sistemas bancarios para poder detectar las vulnerabilidades”

Estas investigaciones se basan en el análisis y estudio del funcionamiento interno de los bancos, sus mecanismos de seguridad y posibles brechas para ser atacadas. Recalcó nuestro experto.

Método usado por los ciberdelincuentes

El método de ataque se basó en un Malware de tipo Ransomware, el cual es usado por los atacantes para infectar los equipos y le da al ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota para encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. En este caso los hackers habrían utilizado un ransomware con variantes de SAMAS, exploremos un poco este software malicioso.

¿Que es Samas Ransomware?

Este Ransomware es también conocido como SamSam, Kazi o RDN / Ransom, es un agresivo ataque híbrido que intenta infectar a todas las máquinas en la red de una organización.

Inicialmente se dirigió a las aplicaciones vulnerables de JBOSS permitiendo el acceso de los piratas informáticos para infectar la red. Aquí hay un diagrama de flujo de cómo funciona:

Cómo funciona Samas Ransomware

Samas comienza con un servidor de prueba / ataque de lápiz que analiza las vulnerabilidades de la red.

Incorpora vulnerabilidades basadas en Java y otra información que roba malware para recopilar credenciales de inicio de sesión, que luego se utilizan para implementar el ransomware y sus componentes a través de una herramienta de terceros.

A diferencia de los vectores de ataque habituales, como los correos electrónicos de phishing o las descargas controladas, los ciberdelincuentes obtuvieron acceso persistente a la red de las víctimas mediante la explotación de vulnerabilidades y extendieron su acceso a cualquier sistema conectado disponible.

En cada sistema, se usaron varias herramientas para buscar, encriptar y eliminar los archivos originales y cualquier copia de seguridad conectada. Una desafortunada víctima incluso hizo que sus copias de seguridad de Veeam quedarán totalmente aniquiladas .

Las herramientas utilizadas fueron algunas utilidades de Microsoft Sysinternals y partes de proyectos de código abierto. Mediante el uso de diferentes herramientas y scripts gratuitos que están disponibles para que cualquiera los use, los atacantes hicieron todo lo posible para evitar la detección. Este es un ataque ransomware muy específico, diferente de la mayoría de los que hemos visto que se propaga siempre que sea posible.

Rescate

Después de que se completa el cifrado de archivos, aparece una nota de rescate exigiendo el pago en Bitcoins para recuperar los archivos. En este momento no se conoce ningún descifrado gratuito disponible para Samas ransomware. Sin embargo, Microsoft ofrece algunos consejos de mitigación y prevención para esta cepa, como la desactivación de la carga de macros en los programas de Office a través de la configuración de la política de grupo, como sugerimos.

Recomendaciones de ON

En ON nos tomamos muy en serio la seguridad del activo más valioso de toda organización, por eso recomendamos lo siguiente:

  • No ingresar a correos de remitentes desconocidos.
  • No abrir links que se encuentren en contenidos de correos desconocidos.
  • A menos que sea indispensable, no abrir archivos adjuntos en los correos que reciban.
  • Realice backups de información sin conexión a internet.
  • Mantener especial alerta a los siguientes comportamientos: lentitud en las estaciones de trabajo, iconos de escritorio que se colocan en blanco, reinicio espontáneo de las estaciones de trabajo.
  • Concientizar a toda la empresa en el manejo de información: correo electrónico, usb, wifi, no hacer clicks en links desconocidos.
  • Conocer a tus proveedores y proteger el intercambio de información, ya que ellos pueden estar vulnerables.

 

En ON tenemos una amplia gama de productos enfocados en mantener la seguridad, estabilidad y confiabilidad de las redes y sistemas de tu empresa.