Seguridad

Detenido en Alicante el cerebro de los malware ‘Carbanak’ y ‘Cobalt’ que afectaron a más de 100 bancos

Nukebot, el nuevo troyano bancario que roba tus credenciales online

Desde 2013, el grupo de cibercriminales, cuyo líder ha caído hoy en España, ha atacado entidades y sistemas de pago electrónico en todo el planeta, provocando pérdidas acumuladas de un billón de euros a la industria financiera.

Alicante se ha convertido en el epicentro de la atención mediática de la industria de la ciberseguridad en el día de hoy. ¿La causa? El anuncio de que la policía española ha logrado detener allí al líder del grupo criminal autor de las campañas de malware ‘Carbanak’ y ‘Cobalt’, las cuales afectaron a más de 100 instituciones financieras en unos 40 países distintos.

La detención (que ha sido posible gracias a la cooperación de los cuerpos nacionales con la Europol, el FBI, las autoridades bielorrusas y taiwanesas) pone fin de este modo a uno de los casos más dramáticos de cibercriminalidad que recuerda el sector bancario mundial. Desde 2013, este grupo ha atacado entidades y sistemas de pago electrónico, provocando pérdidas acumuladas de un billón de euros a la industria. No en vano, tan solo el ‘malware’ Cobalt lograba robar hasta 10 millones de euros en cada operación que tenía éxito.

MoneyTaker: los ciberdelincuentes rusos que robaron 8,5 millones de euros a la gran banca

Según informa la Europol, el grupo de ciberdelincuentes comenzó sus actividades a finales de 2013 con el lanzamiento de la campaña de malware ‘Anunak’, que se enfocaba en transferencias financieras y redes de cajeros automáticos de instituciones financieras de todo el mundo. El año siguiente, los mismos programadores mejoraron el malware con una versión más sofisticada, conocida como ‘Carbanak’, que se conoció en 2016. A partir de ese momento, el sindicato del crimen centró sus esfuerzos en desarrollar una ola de ataques aún más sofisticada al usar malware a medida basado en el software de prueba de penetración ‘Cobalt Strike’.

En todos estos ataques, se usó un modus operandi similar. Los delincuentes enviaban a los empleados del banco correos electrónicos, firmados por supuestas compañías legítimas, con un archivo adjunto malicioso. Una vez descargado, el software permitía a los delincuentes controlar remotamente las máquinas infectadas de las víctimas, dándoles acceso a la red bancaria interna e infectando los servidores que controlan los cajeros automáticos. Esto les proporcionaba la información que necesitaban para retirar libremente el dinero que desearan.

El dinero era cobrado de varias maneras. Por un lado, se programaba los cajeros automáticos para que distribuyeran efectivo en un tiempo predeterminado, justo cuando un colaborador del grupo criminal esperaba al lado de las máquinas. En otras ocasiones se empleaba la red de pago electrónico comprometida para transferir dinero de la organización a cuentas criminales. Pero también se modificaron las bases de datos de cuentas bancarias para inflar el saldo y luego se utilizaban ‘mulas’ para que retiraran el efectivo.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016 y 2017.