«Al menos uno de esos correos logró engañar al personal, dando lugar a la instalación de un troyano de acceso remoto (RAT)«
Un entremamiento adecuado a los empleados hubiera sido más efectivo que la protección tecnológica inexistente.
Un banco indio que no tenía una licencia válida de cortafuegos, no había empleado protección contra la suplantación de identidad, carecía de un sistema de detección de intrusos y evitaba el uso de cualquier sistema de prevención de intrusiones ha sido comprometido por delincuentes que se hicieron con millones de rupias.
La desafortunada institución se llama Andra Pradesh Mahesh Co-Operative Urban Bank. Sus 45 sucursales y algo menos de 400 millones de dólares en depósitos lo convierten en uno de los bancos más pequeños de la India.
Sin duda piensa en pequeño en lo que respecta a la seguridad, al menos según la policía de la ciudad de Hyderabad, que la semana pasada detalló un ataque al banco que comenzó con el envío de más de 200 correos electrónicos de suplantación de identidad durante tres días en noviembre de 2021. Al menos uno de esos correos logró engañar al personal, dando lugar a la instalación de un troyano de acceso remoto (RAT).
Otra tecnología que el banco había decidido no adoptar era la de las LAN virtuales, por lo que, una vez que el RAT entró en funcionamiento, los atacantes lograron entrar en los sistemas del banco y pudieron moverse ampliamente, incluso en su aplicación bancaria principal.
El análisis del ataque realizado por la policía de Hyderabad descubrió que el banco Mahesh había permitido por descuido que su población de superusuarios llegara a diez, algunos de ellos con contraseñas idénticas. Los atacantes comprometieron algunas de esas cuentas y obtuvieron acceso a las bases de datos que contenían información de los clientes, incluidos los saldos de las cuentas.
Los atacantes también crearon nuevas cuentas bancarias y trasladaron los fondos de los clientes a esas cuentas. Más de un millón de dólares de esos fondos robados se trasladaron a cientos de otras cuentas en Mahesh Bank y otras instituciones financieras.
Para completar el atraco, los atacantes retiraron dinero en 938 cajeros automáticos de toda la India y se hicieron con el dinero.
La policía de la ciudad de Hyderabad escribió que fue capaz de detectar el ataque y congelar otros ~2 millones de dólares de fondos antes de que pudieran ser levantados.
El informe de la policía sobre el incidente no es benévolo con Mahesh Bank, ya que señala que no tenía «una infraestructura de red adecuada», no tomó precauciones para aislar las aplicaciones de la sede central de sus sucursales, carecía de muchas herramientas de seguridad básicas, no formó a su personal para la eventualidad eminentemente previsible de un ataque de phishing y no tenía una licencia válida para su cortafuegos en el momento de los ataques.
Esto último no es infrecuente, ya que el software empresarial suele tener un precio ajustado a los estándares occidentales, y los usuarios de países menos prósperos, que encuentran el coste prohibitivo, apuestan por un código no soportado y/o desactualizado.
«La investigación ha revelado que los piratas informáticos y los principales cabecillas se encuentran fuera de la India, probablemente en el Reino Unido y Nigeria», ha declarado la policía de la ciudad de Hyderabad. «La cantidad retirada se transfiere a Nigeria, muy probablemente a través de Hawala o criptomonedas».
La policía de Hyderabad ha detallado el ataque en el siguiente vídeo. No está en español, pero sí presenta diagramas en inglés
