Sobre la detención del hacker creador de Cobalt y Carbanak

El líder de la banda detrás de Carbanak y Cobalt, malwares que tenían como objetivo cerca de 100 instituciones financieras alrededor del mundo, ha sido detenido en Alicante, España. La detención se ha producido gracias a la colaboración de las autoridades españolas, en colaboración con la Europol, el FBI y autoridades rumanas, bielorrusas y taiwanesas.

Desde 2013, la banda ha intentado atacar distintas entidades bancarias, concretamente los sistemas de pago electrónico usando distintas piezas de malware diseñados por ellos. Esta banda logró afectar a bancos de más de 40 paises y provocado pérdidas cercanas a mil millones en la industria. La magnitud de las pérdidas es enorme, ya que permitió a los atacantes robar cerca de 10 millones de euros por ataque.

El modus operandi del grupo criminal comenzó a finales de 2013, lanzando el malware Anunak dirigido a cajeros automáticos de distintas instituciones bancarias alrededor del mundo. Al año siguiente, los autores de Anunak mejoraron el código del malware a una versión más sofisticada llamada Carbanak, usado hasta finales de 2016. A partir de entonces, los autores dedicaron sus esfuerzos a desarrollar unas oleadas de ataques más sofisticadas usando Cobalt Strike, un software de pentesting.

Flujo de negocio del malware. Extraído de europol.europa.eu.

En todos estos ataques se utilizaba un modus operandi similar, los criminales enviarían a empleados de la banca correos cuyo contenido era spear-phishing (phishing dirigido a usuarios concretos) con un archivo adjunto malicioso. Al ser descargado, el software permitía a los criminales controlar remotamente las máquinas de las víctimas, y obtener acceso a la red interna del banco para poder infectar los servidores que controlan los cajeros automáticos. Gracias a esto, los atacantes poseían la información suficiente para poder extraer dinero de los cajeros.

Para poder sacar dinero, los atacantes enviaban órdenes a los cajeros de manera remota. El dinero era recolectado por grupos criminales organizados, que daban soporte al sindicato criminal principal. Al enviarse la orden, un miembro del grupo estaba esperando cerca de la máquina para extraer el dinero del cajero. La red de pagos electrónicos se utilizaba para transferir el dinero a otras cuentas de la organización o de distintas entidades bancarias. Las bases de datos también eran manipuladas, para aumentar las cantidades de dinero que luego eran extraidas por las mulas. Finalmente, el dinero se lavaba a través de criptomonedas, utilizadas para comprar casas y coches de lujo.

La Europol facilitó el intercambio de información entre las distintas partes de la investigación, quienes de la misma manera afirma: “El arresto de la figura clave en este caso confirma que los cibercriminales no pueden continuar escondiendose detrás de la anonimidad internacional.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.

Ver información original al respecto en Fuente: