Los investigadores han relacionado el malware utilizado por ciber-pandillas rusas y europeas del Este con una serie de atracos a bancos que culminaron con el robo récord de US$81 millones del banco central de Bangladesh, según personas al tanto de la investigación.
Las herramientas utilizadas en algunos de los ataques contra 12 bancos, en su mayoría del Sudeste de Asia, coinciden con las desplegadas por las llamadas pandillas delictivas Dridex, dijeron las personas, que pidieron no ser identificadas porque la investigación es confidencial. Operan en Rusia y en ex partes de la Unión Soviética como Moldava y Kazajstán.
En el ataque perpetrado en Bangladesh hubo involucrados hackers norcoreanos dado que el software malicioso, o malware, utilizado indicó una conexión entre ese ataque y la violación de la red de Sony Pictures Entertainment Inc. en 2014, que funcionarios de los Estados Unidos atribuyeron a ese país. Si bien la presencia del código utilizado en ataques anteriores podría indicar la participación de Dridex o de Corea del Norte, también puede significar que el malware se vende a terceros en el mercado negro, dijo una de las personas.
Infiltración en correo electrónico. El haber encontrado malware asociado a las pandillas rusas hace que atribuir el origen de los ataques resulte aún más complicado para las autoridades, que ahora tienen pruebas que apuntan a la posible participación de ambos Estados-nación con antecedentes de piratería y de organizaciones criminales que viven de robar a las empresas.
Los delincuentes aprovecharon debilidades en las ciber-defensas de los bancos para tratar de robar casi US$1.000 millones del banco central de Bangladesh en febrero y llevarse US$12 millones de un prestamista ecuatoriano en enero de 2015. Un ataque a fines del año pasado a un banco vietnamita fue frustrado. En los tres incidentes, los autores lograron acceder a los códigos que usan los bancos para conectarse con la red de pagos global Swift y los usaron para solicitar transferencias de fondos que iban dirigidos a otra parte.
Dridex, nombre utilizado para identificar tanto el malware como el grupo que lo emplea, se propaga infiltrándose en correos electrónicos de las computadoras tomadas como blanco y cosecha información personal como nombres de usuario y contraseñas, que luego pueden ser utilizados para obtener acceso a redes privilegiadas. Detectado por primera vez en 2014, Dridex es una de las amenazas online más peligrosas que enfrentan los consumidores y las empresas, según la firma de seguridad Symantec Corp.
La pandilla disciplinada y muy bien organizada que hay detrás de este malware opera en muchos sentidos como una compañía común, con una semana de trabajo de lunes a viernes y hasta francos para Navidad, dijo Symantec en un informe en febrero.