Lazarus Group ataca nuevamente, roban mas de $13 millones de dolares en un banco en India.



El grupo de Hackers llamado Lazarus Group al cual se le vincularon los ataques del Banco de Chile, fue el responsable de realizar el robo mediante la red SWIFT al banco Cosmos en India y robaron sobre 13.5 millones de dolares.

El Banco Cosmos es el segundo banco mas grande en india con mas de 112 años de antigüedad. Los atacantes ingresaron mediante infección por malware a la red Swift del banco robando datos detallados de tarjetas VISA y Rupay, entre el 11 y 13 de Agosto.

En este caso los atacantes retiraron el dinero físicamente en mas de 28 países incluidos el Reino Unido, Estados Unidos, Rusia y los Emiratos Arabes Unidos, con la clonación de tarjetas.

Los atacantes inicialmente utilizaron múltiples malware con el objetivo de romper la conexión entre la central y el Sistema de core bancario, con la idea de dirigir el tráfico a un Switch ATM malicioso cosa de poder comprometer el ATM.

Una vez que los delincuentes informáticos se hacen cargo de la Central existente que utiliza la Central maliciosa, realizan cambios en los saldos de la cuenta objetivo y habilitan los retiros, como EFT extraterrestre, permanente, etc.

Después de estos cambios en la modalidad ATM, el actor amenaza para acceder al cajero automático y retiros por más de US $ 11.5 millones en 2849 transacciones domésticas (Rupay) y 12,000 internacionales (Visa) usando 450 tarjetas de débito clonadas (no EMV) en 28 países.


En el caso del ataque al Cosmos Bank, este no era el típico fraude básico de tarjeta-no-presente (CNP), jackpot o blackboxing. El ataque fue una operación más avanzada, bien planificada y altamente coordinada que se centró en la infraestructura del banco, eludiendo efectivamente las tres capas principales de defensa según la guía de mitigación de ataques de banca / ATM de Interpol (consulte https://www.ncr.com /content/dam/ncrcom/content-type/brochures/EuroPol_Guidance-Recommendations-ATM-logical-attacks.pdf).

Según securonix, basado en la experiencia que tienen estos indican que por lo general los ataques a redes bancarias terminan realizando modificaciones en los Switches ATM haciendo que estos se vuelvan maliciosos. Con este tipo de modificaciones los atacantes son capaces de retirar dinero de las cuentas sin que estas pasen por el core bancario evitando así que se valide la información en las tarjetas sustrayendo el dinero que existe en los cajeros ATM. Bajo esta técnica lograron sustraer los 13.5 millones de dolares desde 28 paises con 450 tarjetas de crédito clonadas.