Grupo Cobalt es nuevamente exitoso en el ataque a ATM

Cobalt: el grupo cibercriminal ataca de nuevo con éxito

A principios de julio de este año, el grupo de cibercriminal Cobalt llevó a cabo varios ataques exitosos a entidades bancarias.

Las características de la operación Cobalt, demuestra que utilizaron un nuevo instrumento de ataque y una nueva forma de intrusión de red.

Ahora no está claro si el nuevo programa está conectado con los citados incidentes, pero se detectó en todos los casos de robos exitosos.

La cronología de ataque indica que el nuevo instrumento apareció antes de las operaciones de fraude

Mediante el uso de correos electrónicos de phishing, los actores maliciosos utilizan un backdoor, destinado a la recopilación de datos y al envío de dichos datos al servidor C & C.

En respuesta a esta acción, la máquina del usuario recibe diferentes comandos-programas (de hecho, son scripts de PowerShell y JavaScript) que son lanzados por el programa malicioso.

Presumiblemente, con los usos de este programa, los atacantes robaron el certificado para la conexión al servidor VPN (Virtual Private Network).

Usando el acceso a la VPN, los atacantes investigaron la infraestructura de red y para ellos utilizaron el software malicioso instalado en la máquina de la víctima “Cobalt Strike” usando exploit ETERNALBLUE, herramienta digital que fue tomada de los repositorios de la NSA, por el grupo Shadow Brokers. (vulnerabilidad CVE-2017-0143).

Una vez que investigaron los procesos internos del banco objetivo, se movieron lateralmente y obtuvieron acceso a cajeros automáticos.

Después de eso, subieron el software usado en sus ataques anteriores y enviaron el comando al dispensador del cajero automático para servir los billetes alojados en los cartuchos de cada ATM.

Entre el 5 y el 7 de Julio, diferentes bancos rusos recibieron ataques exitosos, que vulneraron la seguridad de estas entidades.

Los actores maliciosos del grupo Cobalt siguen desarrollando herramientas para vulnerar entidades financieras, causando un “jackpotting remoto” que vacía los cajeros automáticos de las entidades comprometidas.

En Group IB tomamos muy seriamente la responsabilidad de compartir con el publico los riesgos que existen, y rastreamos estos actores amenazantes para poder proteger a nuestros clientes y el mundo en general“, aseguró Dan Molina Managing Director, Americas de Group IB

RECOMENDACIONES

Comprobar la presencia de correos electrónicos maliciosos en el servidor de correo, comprobar los indicadores de infección.

Utilizar software parchado con las últimas versiones de los proveedores de confianza, solucionar la vulnerabilidad en el protocolo SMB, actualizar MS Office.

Además, debe incluir elementos críticos de la red (sistemas baking, procesamiento de tarjetas, SWIFT, sistemas de transferencia de pagos, etc.) en subredes independientes sin acceso externo.

Los administradores necesitan estaciones de trabajo separadas con listas blancas configuradas.

El acceso remoto debe ser restringido.