La semana pasada, empresa de seguridad RSA detalló un nuevo proyecto ciberdelincuente destinado a reclutar 100 botmasters para ayudar a lanzar una serie de lucrativos atracos en línea dirigidos a 30 bancos estadounidenses. El aviso de RSA se centró principalmente en ayudar a las instituciones financieras a prepararse para una avalancha de ataques bancarios electrónicos más sofisticados, y ya ha recibido mucha atención de los medios. Estoy sopesando el tema porque su análisis parecía simplemente arañar la superficie de una empresa más grande que dice mucho sobre por qué los ataques en línea se están volviendo más audaces y descarados hacia los objetivos occidentales.
RSA no especificó de dónde obtuvo su inteligencia, pero el hallazgo del informe parece vinculado a una serie de comunicaciones publicadas en foros exclusivos de Underweb por un pirata informático ruso que usa el apodo «vorVzakone», que se traduce como «ladrón en la ley.” Esta es una expresión en Rusia y Europa del Este que se refiere a toda una subcultura de bandas criminales de élite que operan más allá del alcance de las fuerzas del orden tradicionales. El término a veces también se usa para referirse a un solo capo criminal.
Una captura de pantalla publicada por vorVzakone, que muestra su servidor de malware Project Blitzkrieg enumerando el número de víctimas en línea por banco.
A principios de septiembre, vorVzakone publicó un extenso mensaje anunciando las etapas iniciales de una campaña que denominó «Proyecto Blitzkrieg». Esto se concibió como un esfuerzo de colaboración diseñado para explotar la falta de mecanismos antifraude de la industria bancaria de EE. UU. en relación con las instituciones financieras europeas, que generalmente requieren autenticación de dos factores para todas las transferencias electrónicas.
La campaña, que supuestamente se lanzará desde ahora hasta la primavera de 2013, propone organizar células de piratas informáticos en la comunidad ciberdelincuente para colaborar en la explotación de estas debilidades de autenticación antes de que los bancos estadounidenses establezcan controles más estrictos. “El objetivo: juntos, en masa y simultáneamente procesar una gran cantidad del material dado antes de que se incrementen las medidas antifraude”, escribió vorVzakon. Una versión traducida profesionalmente de su publicación completa está disponible aquí.
RSA dijo que el proyecto está siendo impulsado por una versión del Troyano Gozi llamado «Gozi Prinimalka». La compañía cree que este troyano es parte de la familia de malware utilizado por una pandilla criminal muy unida que ya ha robado al menos $ 5 millones de los bancos. De su análisis:
“En un proceso al estilo de un campo de entrenamiento, los botmasters cómplices serán seleccionados y capacitados individualmente, por lo que tendrán derecho a un porcentaje de los fondos que desviarán de las cuentas de las víctimas a cuentas mula controladas por la pandilla. Para asegurarse de que todos estén trabajando duro, cada botmaster seleccionará su propio ‘inversor’, quien depositará el dinero necesario para comprar equipos para la operación (servidores, computadoras portátiles) con el incentivo de compartir las ganancias ilícitas. La pandilla y una larga lista de otros cómplices también obtendrán su parte del botín, incluido el pastor de mulas de dinero y los desarrolladores de malware.
Si bien la campaña no es revolucionaria en términos técnicos, supuestamente tendrá varias características notables. Un novedoso módulo de sincronización de máquinas virtuales anunciado por la pandilla, instalado en la máquina del botmaster, supuestamente duplicará la configuración de la PC de la víctima, incluida la zona horaria de la víctima, la resolución de la pantalla, las cookies, el tipo y la versión del navegador y las identificaciones del producto de software. Por lo tanto, se accederá a las cuentas de las víctimas suplantadas a través de una conexión de proxy SOCKS instalada en sus PC infectadas, lo que permitirá que el sistema virtual clonado tome la dirección IP genuina al acceder al sitio web del banco”.
vorVzakone también dice que la operación inundará las líneas telefónicas de las víctimas del robo cibernético mientras las víctimas son robadas, en un intento por evitar que los titulares de las cuentas reciban llamadas de confirmación o mensajes de texto de sus bancos (he cubierto esta táctica de distracción en al menos un par de historias ). Curiosamente, este hacker inició hilos de discusión en diferentes foros en los que publica un video de este servicio en acción. El video muestra bastidores de computadoras portátiles administradas centralmente, cada una de las cuales ejecuta una instalación de Skype. Si bien existen formas más simples, económicas y que requieren menos recursos de vincular la línea telefónica de un objetivo, hacer que todos estos sistemas llamen a un solo número simultáneamente probablemente lograría el mismo resultado. Si no ve los subtítulos en inglés cuando reproduce el video a continuación, haga clic en el ícono «cc» en el reproductor para habilitarlos:
LA PRIMERA REGLA DEL PROYECTO BLITZKRIEG…
La publicación de vorVzakone ha sido recibida con una oleada de curiosidad, entusiasmo y escepticismo por parte de los miembros de la clandestinidad. El escepticismo parece provenir de algunas publicaciones relacionadas en las que se jacta y llama la atención sobre sus credenciales/conexiones criminales, una actividad que tiende a generar señales de alerta en una comunidad que generalmente prefiere mantener un perfil bajo.
En el siguiente fragmento introductorio de una película casera, él publicado en youtube.com, vorVzakone se presenta a sí mismo como «Sergey», el tipo calvo y fornido con gafas de sol. También presenta a un hacker que necesita poca presentación en la clandestinidad rusa: un individuo muy conocido que usó el apodo de «NSD». [an abbreviation for the Russian term несанкционированный доступ, or “unauthorized access”] a mediados de la década de 2000, cuando afirma haber salido de la escena de la piratería.
“Buen día a todos, tarde o noche, depende de cuándo me estén viendo”, comienza el hacker, de pie frente a un Toyota Land Cruiser. “Mi nombre es Serega, todos me conocen por mi apodo “vor v zakone” en el foro. Este es mi hermano, mi representante fuera de línea: Oleg ‘NSD’. ¿Y qué? Decidí conocerte, digamos ‘a distancia’. Sin conocernos realmente, ¿verdad? Ahora verás cómo vivo. Vamos, te mostraré algo.”
Una foto fija de un video publicado por el hacker «vorVzakone», en primer plano.
Y procede a mostrar a los espectadores lo que dice que es su hogar. Pero a muchos en la comunidad clandestina les resultó difícil tomar en serio a alguien que sería tan arrogante con respecto a su seguridad personal, anonimato y protección. “El lenguaje y el comportamiento de este tipo es el de un traficante de drogas en una esquina o el portero de un club nocturno, y no el de alguien que puede comprender lo que son los ‘calcetines backconnect’ o GeoIP”, comentó un experto ruso que ayudó a traducir parte de la documentación incluida en este documento. entrada en el blog.
Pero muy pronto, los piratas informáticos en los foros en los que vorVzakone había publicado sus videos comenzaron a verificar la historia, desenterrando registros de agencias de vehículos motorizados rusas que indicaban que las placas del Toyota y otros autos en video estaban registradas a nombre de un joven de 27 años. Oleg Vsevolodovich Tolstikh de Moscú. Además, señalaron, los videos fueron publicados por un usuario de youtube llamado 01NSD, quien también había publicado previamente entrevistas de televisión finlandesas y rusas con NSD describiendo varias facetas del clandestino hacker. De hecho, si haces una pausa este vídeo de 2007 22 segundos después, puedes ver en la pantalla de NSD que está en medio de una conversación de chat con un hacker llamado vorVzakone.
En respuesta a las burlas y burlas de algunos en la clandestinidad, vorVzakone publicó este mensaje el 6 de octubre en un destacado foro sobre delincuencia explicando por qué no le preocupa hacer público su negocio.
«Hola a todos
Muchos vieron videos en foros vecinos, donde demuestro abiertamente mis autos, mi casa y mi rostro.
¿Qué quiero decir?
Que si te diriges con precisión a los clientes en los EE. UU. mientras estás en Rusia, entonces no puedes temer nada mientras vivas en tu país. Excepto una cosa: nunca debes exponerte durante заливы [“залив” means “in the process of stealing victim’s money from a bank account”].
Soy el ejemplo obvio del hecho de que no puedes temer nada en nuestro país, puedes vivir abiertamente y tranquilo”.
‘SEGURO DE ACTUACIÓN PENAL’
La aparente calma de vorVzakone también puede ser parte de un ingenioso argumento de venta para otro servicio criminal que actualmente está promocionando en Underweb: «Seguro de enjuiciamiento penal» por cargos de ciberdelincuencia. Por un depósito de 15.000 rublos (unos 500 dólares), los piratas informáticos pueden hacer uso de un servicio que, en caso de que los fiscales locales presenten cargos por delitos cibernéticos, intentará sobornar a los funcionarios para que desestimen el caso. “Anonimato total”, prometió vorVzakone a los piratas informáticos que se inscribieron en su programa de seguros. «Los [customer’s] el apellido real solo se conoce cuando el ‘trasero está en llamas’ de esta persona”.
Esta oferta increíblemente audaz promete muchas cosas a los suscriptores, incluida la asignación de un abogado, accesible a través de un número de teléfono y un código PIN específicos del suscriptor. A partir de ahí, el abogado se reúne con la policía y el acusado y discute el caso con su cliente.
“Si no hay pruebas creíbles, los abogados presionan a los agentes del orden, para que la persona quede en libertad; Si se falsifican las pruebas, trabajan con la oficina de asuntos internos de la policía local y los fiscales locales. Si la evidencia es creíble, trabajan con el investigador para “comprar” al acusado; Si hay “pruebas reales” de delito grave, intentarán “comprar” a la persona del problema; Si no tienen éxito, encontramos acceso a la gestión de investigadores (tenemos contactos). $40,000 es suficiente para comprar el seguro de la gerencia del investigador. También hay personas que están listas para ir a prisión en lugar del suscriptor..” [emphasis added].
A los suscriptores se les ofrece un presupuesto de $10,000 para cubrir los gastos de viaje de los abogados y las maniobras legales iniciales (y probablemente extralegales) en nombre del cliente. El anuncio también nos da una aproximación aproximada de lo que generalmente cuesta sobornar o intimidar a los agentes de la ley locales para que no actúen.
- $ 1,000 es suficiente para llevar a un abogado experto a la región vecina en automóvil.
- $3000 es suficiente para volar a cualquier región con dos abogados.
- $ 6,000- $ 8,000 es suficiente para involucrar a la oficina de asuntos internos de la policía local para construir el caso contra la policía.
- $20,000 es suficiente para comprar el asegurado del investigador.
- $ 40,000 es suficiente para comprar el seguro de los jefes de policía locales.
- $ 100,000 es suficiente para resolver el problema en los niveles más altos de gestión o para colocar a algún «bajón» en prisión en lugar del asegurado.
Para aquellos interesados en leer más, hay disponible una traducción aproximada de todo el anuncio del servicio de «seguro contra el enjuiciamiento penal» aquí.
¿COMIDAS PARA LLEVAR?
Es difícil decir si las ofertas de vorVzakone son legítimas o si él es, como aparentemente temen muchos en la clandestinidad, un instrumento (si no una creación) de los funcionarios encargados de hacer cumplir la ley rusos. Sin embargo, los bancos ya deberían estar avanzando hacia la implementación de controles de autenticación más estrictos para los clientes que desean mover dinero. Desafortunadamente, muchas instituciones financieras estadounidenses están rezagadas con respecto al resto del mundo en este aspecto.
Bajo la “Regulación E” de la Ley de Transferencia Electrónica de Fondos (EFTA) los consumidores no son responsables de las pérdidas financieras debidas al fraude, incluidas las apropiaciones de cuentas debido a nombres de usuario y contraseñas perdidos o robados, si informan de inmediato la actividad no autorizada. Sin embargo, las entidades que experimentan un fraude similar con una cuenta bancaria comercial o empresarial no disfrutan de las mismas protecciones y, a menudo, se ven obligadas a absorber las pérdidas. Mientras tanto, los ladrones cibernéticos organizados han robado decenas de millones de dólares de pequeñas y medianas empresas, organizaciones sin fines de lucro, pueblos y ciudades, según el FBI.
Pero la mejor manera de evitar un robo cibernético es no tener sus sistemas informáticos infectados en primer lugar. El problema es que cada vez es más difícil saber cuándo un sistema está o no infectado. Es por eso que abogo por el uso de un enfoque de Live CD para la banca en línea: de esa manera, incluso si el disco duro subyacente está infectado con un troyano de robo de contraseñas de acceso remoto como Gozi, su sesión de banca en línea está protegida.
Relacionado:
General ucraniano arrestado en atracos cibernéticos – Krebs on Security
Delitos cibernéticos: ¿Se puede aplicar el principio de intercambio de Locard a los delitos cibernéticos?
Proyecto de ley daría a ciudades, pueblos y escuelas las mismas garantías de seguridad de banca electrónica que los consumidores – Krebs on Security
