Un estudio del Grupo IB reveló que más del 70% de los bancos rusos no están preparados para los ciberataques

Group-IB, empresa internacional especializada en la prevención de ciberataques, ha llevado a cabo una investigación de alta tecnología basada en el análisis de las respuestas a los incidentes de seguridad de la información llevado a cabo por el equipo de respuesta a incidentes del Group-IB en 2018. Según la nueva investigación, los hackers tradicionalmente se dirigen al sector financiero. Aún así, el 74 por ciento de los bancos no estaban preparados para los ciberataques, el 29 por ciento estaba activamente infectado con malware, y en el 52 por ciento de los casos se detectaron rastros de ataques anteriores. Según los expertos, una de las tendencias más peligrosas del año pasado son los ciberataques transfronterizos de efecto dominó, en los que la infraestructura infectada de un banco comprometido se utiliza para propagar la infección a otros bancos. En 2018, el equipo de Respuesta a Incidentes del Grupo IB ha detectado el uso de este vector en Rusia y Europa del Este.

El número total de respuestas a incidentes del Grupo IB se ha duplicado con creces en comparación con 2017. A la cabeza de la lista de las principales amenazas a las que se enfrentan las empresas comprometidas se encuentran los ataques dirigidos, el espionaje de la competencia, los ataques con software de rescate y la criptomanía. La principal conclusión del laboratorio forense digital del Grupo IB es que la gran mayoría de las empresas rusas afectadas por ataques de hackers el año pasado no tenían un plan de respuesta a incidentes y, por lo tanto, no estaban preparadas para movilizar rápidamente a sus departamentos de seguridad de la información, cuyo personal a menudo es incapaz de resistir a los atacantes. Los expertos del Grupo IB destacan la alta probabilidad de que se repitan los incidentes en estas empresas.

Un hecho desafortunado: los bancos no están preparados para defenderse contra los actores de las amenazas

Según el estudio de respuesta a incidentes, los bancos fueron el blanco de alrededor del 70% de la actividad de los hackers el año pasado. Los piratas informáticos siguen utilizando los mismos sistemas de retirada de dinero que antes: los fondos robados se retiran utilizando tarjetas de pago preabiertas en un banco específico, cuentas de bufetes de abogados ficticios, sistemas de pago, cajeros automáticos y tarjetas SIM. Al mismo tiempo, el volumen de cobros en Rusia ha aumentado varias veces: un cobro de 3 millones de dólares tomó en promedio alrededor de 25-30 horas hace 3 años, pero en 2018 hubo incidentes en los que la misma cantidad fue cobrada con éxito en menos de 15 minutos a la vez en diferentes ciudades rusas.

El análisis de los datos obtenidos por el Grupo IB durante las respuestas a incidentes reveló que el 74% de los bancos atacados en 2018 no estaban preparados para los ciberataques. Al mismo tiempo, más del 60 por ciento de ellos resultaron incapaces de gestionar de forma centralizada sus redes (especialmente en el caso de la infraestructura distribuida geográficamente). En más del 80 por ciento de las organizaciones financieras afectadas por la actividad de hacking, no se observó un nivel suficiente de registro de eventos durante un período más largo (más de un mes). La insuficiente cooperación entre los departamentos internos es un factor adicional que beneficia a los atacantes: más del 65 por ciento de las organizaciones financieras, en las que trabajaba el equipo de IR del Grupo IB, dedicaban más de 4 horas a la coordinación del trabajo entre departamentos. Mientras tanto, se dedicaron un promedio de 12 horas a reuniones, lo que permitió el acceso y el trabajo rutinario como parte de la respuesta a un incidente.

De Rusia con amor. ¿Cómo afectan los ciberataques en Rusia a los bancos de Europa?

La investigación del grupo IB reveló no sólo un bajo nivel de elaboración de procedimientos organizativos para establecer la fuente de una infección, determinar el grado de compromiso y la localización del incidente, sino también una insuficiente capacidad técnica del personal del banco. Según los investigadores del Group-IB, el 70 por ciento de las organizaciones no tienen suficiente o ninguna habilidad especializada para detectar rastros de infección y actividad de red no autorizada. El mismo porcentaje carece de procedimientos bien definidos para la autodetección de compromisos de hardware y software. Los altos riesgos se deben a la falta de disposición de los especialistas técnicos para reaccionar rápidamente ante los incidentes cibernéticos: según Group-IB, más del 60 por ciento de los bancos son incapaces de llevar a cabo un cambio único centralizado de todas las contraseñas en poco tiempo, lo que permite a los hackers atacar a nuevos objetivos desde dentro de la infraestructura comprometida del banco.

«Un banco con una infraestructura comprometida no sólo puede perder dinero, sino también convertirse en una amenaza para otros actores del mercado financiero», comenta Valery Baulin, Director del Laboratorio de Análisis Forense Digital del Grupo IB. «Un grupo de hackers motivado financieramente siempre busca maximizar las ganancias: al tomar el control de los sistemas de un banco, no sólo busca retirar dinero de un banco comprometido, sino también infectar a tantas nuevas víctimas como sea posible. Para ello, los hackers utilizan un «efecto dominó»: envían correos electrónicos de phishing maliciosos desde la infraestructura comprometida utilizando la base de datos de las empresas asociadas al banco. Este vector de ataque es peligroso, en primer lugar, porque estos correos electrónicos se envían desde un banco legítimo, y el remitente no es falso, lo que aumenta la probabilidad de abrir el archivo adjunto malicioso. Por lo tanto, se inicia una reacción en cadena, y esto puede conducir a múltiples infecciones de las instituciones financieras. En 2018, detectamos el uso de este vector tanto en Rusia como en Europa del Este».

Agenda oculta

Según el Group-IB, al menos el 17 por ciento de las empresas en las que se llevó a cabo la respuesta a incidentes han sido atacadas a través de vulnerabilidades previamente no abordadas en el plazo de un año tras la última infección. En la gran mayoría de los casos, esto fue consecuencia del incumplimiento de las recomendaciones, así como de la negligencia de los empleados del banco. Además, durante 2018, los expertos del Grupo IB detectaron infecciones activas en el 29 por ciento de las organizaciones del sector financiero, desconocidas para el servicio interno de seguridad de la información. En el 52 por ciento de los casos, se encontraron rastros de ataques anteriores.

En 2018, el equipo de Respuesta a Incidentes del Grupo IB registró casos en los que se organizaron ciberataques para crear una imagen negativa alrededor de un banco, lo que provocó daños a la reputación y, en algunos casos, la salida del banco del mercado. «Se crea una imagen claramente negativa alrededor del banco: pueden aparecer estimaciones de daños potenciales, junto con información negativa sobre el nivel de protección del banco. Los medios de comunicación se encargan de la posible revocación de su licencia bancaria. Hay un flujo de salida de clientes y socios, y el banco se enfrenta a una capitalización insuficiente. El uso del ciberataque como herramienta para dañar la reputación de los bancos e incluso para expulsar a un competidor del mercado es otro vector peligroso, que puede llegar a ser aún más popular, ya que el nivel de seguridad cibernética de los bancos más pequeños sigue siendo extremadamente bajo», dice Valery Baulin.

Acerca del Equipo de Respuesta a Incidentes del Grupo IB

Group-IB ha estado llevando a cabo la respuesta a incidentes de seguridad cibernética desde 2003. Sus principales competencias y conocimientos en esta esfera se acumulan en el mayor laboratorio forense de Europa oriental, que durante los últimos 16 años ha dado muchas respuestas satisfactorias en diversas organizaciones de todo el mundo. El objetivo de una respuesta a un incidente es identificar todos los hosts infectados, los datos comprometidos y las herramientas utilizadas por los atacantes para establecer el IoC (Indicadores de Compromiso, por sus siglas en inglés). Además, los especialistas del Grupo IB desarrollan recomendaciones para la organización de las víctimas hasta que el incidente esté completamente contenido y resuelto y se eliminen los efectos del ataque. Los servicios basados en Group-IB Lab también se han desplegado para preparar una respuesta eficaz a los incidentes de seguridad de la información (Evaluación Pre-IR), así como para detectar los próximos ataques y los rastros de compromiso de los nodos individuales de la red (Evaluación de Compromiso).