FASTCash 2.0: Robo a bancos por BeagleBoyz de Corea del Norte (07/septiembre/2020) ﷯ Los BeagleBoyz de Corea del Norte son responsables de sofisticadas campañas de retiro de efectivo en cajeros automáticos identificadas públicamente como "FASTCash" en octubre de 2018. Desde 2016, los BeagleBoyz han perpetrado el esquema FASTCash, dirigido a la infraestructura del sistema de pago minorista de los bancos (es decir, cambiar los servidores de aplicaciones procesamiento de mensajes de la Organización Internacional de Normalización [ISO] 8583, que es el estándar para la mensajería de transacciones financieras). Desde la publicación realizada en octubre de 2018, ha habido dos desarrollos particularmente significativos en la campaña: (1) la capacidad de llevar a cabo el esquema FASTCash contra los bancos que alojan sus aplicaciones en servidores Windows, y (2) una expansión de la campaña FASTCash para apuntar a procesadores de pagos interbancarios. En octubre de 2018, el gobierno de EE. UU. Identificó malware utilizado en el esquema FASTCash que tiene la capacidad de manipular servidores AIX que ejecutan la aplicación de cambio de un banco para interceptar mensajes de solicitud financiera y responder con mensajes de respuesta afirmativa fraudulentos, pero de apariencia legítima, para habilitar cajeros automáticos, retiros de efectivo. Desde entonces, el gobierno de EE. UU. ha identificado malware funcionalmente equivalente para el sistema operativo Windows. El BeagleBoyz inicialmente apuntó aplicaciones de cambio a bancos individuales con malware FASTCash pero, más recientemente, se ha dirigido al menos a dos procesadores de pagos interbancarios regionales. Esto sugiere que BeagleBoyz está explorando oportunidades ascendentes en el ecosistema de pagos con malware FASTCash. El 26 de agosto de 2020, la Agencia de Seguridad de Infraestructura y Seguridad Cibernética (CISA), el Departamento del Tesoro, la Oficina Federal de Investigaciones y el Comando Cibernético de EE. UU. identificaron malware y otros indicadores de compromiso utilizados por el gobierno de Corea del Norte en un cajero automático: denominado por el gobierno de EE. UU. como "FASTCash". El gobierno de los Estados Unidos se refiere al grupo detrás de esta actividad como BeagleBoyz. El BeagleBoyz se superpone en diversos grados con grupos rastreados por la industria de la ciberseguridad como: APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) y Stardust Chollima (CrowdStrike). Naciones objetivo El BeagleBoyz probablemente se haya dirigido a instituciones financieras en las siguientes naciones desde 2015 hasta 2020: Argentina, Brasil, Bangladesh, Bosnia y Herzegovina, Bulgaria, Chile, Costa Rica, Ecuador, Ghana, India, Indonesia, Japón, Jordania, Kenia, Kuwait, Malasia, Malta, México, Mozambique, Nepal, Nicaragua, Nigeria, Pakistán, Panamá, Perú, Filipinas, Singapur, Sudáfrica, Corea del Sur, España, Taiwán, Tanzania, Togo, Turquía, Uganda, Uruguay, Vietnam, Zambia. La figura siguiente proporciona una descripción gráfica de un atraco a un banco por BeagleBoyz. Figura 1: Gráfica del atraco a un banco por BeagleBoyz Fuente: AA20-239A_FASTCash%25202.0_North_Korea_BeagleBoyz_Robbing_Banks_S508C.pdf La siguiente sección describe en detalle las acciones de extremo a extremo que toma BeagleBoyz para robar instituciones financieras. Análisis técnico BeagleBoyz utiliza una variedad de herramientas y técnicas para obtener acceso a la red de una institución financiera, aprender la topología para descubrir sistemas precisos y monetizar su acceso. Es importante resaltar la capacidad del grupo para adaptar sus técnicas a diferentes objetivos y adecuar sus métodos a lo largo del tiempo. En consecuencia, existe la necesidad de mitigaciones en capas para defenderse de manera efectiva contra esta actividad maliciosa, ya que depender únicamente de la detección de firmas de red no brindará suficiente protección contra el BeagleBoyz de Corea del Norte. Acceso inicial Los BeagleBoyz han utilizado una variedad de técnicas, como el spearphishing y los watering hole (abrevaderos), para permitir el acceso inicial a las instituciones financieras específicas. Desde finales del 2018, durante el 2019 y principios de 2020, BeagleBoyz demostró el uso de tácticas de ingeniería social para llevar a cabo ataques de phishing temáticos de aplicaciones de empleo, utilizando los siguientes archivos maliciosos disponibles públicamente. • MD5: b484b0dff093f358897486b58266d069 • MD5: f34b72471a205c4eee5221ab9a349c55 • MD5: 4c26b2d0e5cd3bfe0a3d07c4b85909a4 • MD5: 52ec074d8cb8243976963674dd40ffe7 • MD5: d1d779314250fab284fd348888c2f955 • MD5: 41fd85ff44107e4604db2f00e911a766 • MD5: cf733e719e9677ebfbc84a3ab08dd0dc • MD5: 01d397df2a1cf1d4c8e3615b7064856c Los BeagleBoyz también han utilizado las siguientes técnicas para lograr un acceso inicial en una red informática específica: • Envío por correo electrónico un archivo adjunto con software malicioso a una persona, empresa o industria específica. (Phishing: Archivo adjunto de phishing) • Poner en peligro un sitio web visitado por usuarios en comunidades, industrias o regiones específicas. • Aprovechar una debilidad (un error, falla o vulnerabilidad de diseño) en un sistema informático orientado a Internet, como una base de datos o un servidor web. • Robar las credenciales de un usuario específico o cuenta de servicio, para evitar los controles de acceso y obtener mayores privilegios. • Ingresar a través de organizaciones que tienen acceso a la organización víctima prevista y explotar su relación de confianza. (Relación de confianza) • Utilizar servicios remotos para acceder inicialmente y permanecer dentro de la red de una víctima. (Servicios remotos externos) Mitigaciones Es recomendable tomar acciones conjuntas en el entorno nacional, por lo que se sugiere comunicar cualquier situación anómala respecto de esta actividad maliciosa al EcuCERT, Comité de seguridad informática de la ASOBANCA, la Policía Nacional o las Superintendencias de: 1) Bancos y Seguros o 2) de la Economía Popular y Solidaria; según sea el caso o su relación de confianza. Incorporar los Indicadores de Compromiso - IOC identificados en los informes de análisis de malware de CISA en https://us-cert.cisa.gov/northkorea en los sistemas de detección de intrusos (IPS) y los sistemas de alerta de seguridad para permitir el bloqueo activo o la notificación de actividades maliciosas sospechosas. Recomendaciones para todas las instituciones financieras Verificar el cumplimiento de los manuales del FFIEC, especialmente los relacionados con la seguridad de la información y los sistemas de pago. https://ithandbook.ffiec.gov/ Verifique el cumplimiento de los estándares de seguridad de la industria para sistemas críticos, como los disponibles en: https://www.pcisecuritystandards.org https://www.swift.com/myswift/customer-security-programme-csp/swift-customer-security-controls-framework Recomendaciones para instituciones con sistemas de pago minoristas Los pagos minoristas o de bajo valor son principalmente pagos de consumo cuyo valor y urgencia son relativamente bajos. Se puede decir que comprende a todos los pagos que no están definidos como pagos de alto valor1. Los pagos minoristas pueden ser caracterizados y contrastados con otro tipo de pagos en la siguiente forma2: En primer lugar, son típicamente realizados en forma masiva por gran cantidad de personas y se vinculan básicamente con compras de bienes y servicios en el sector comercial más que, por ejemplo, en la liquidación de transacciones entre instituciones financieras. Por otra parte, los pagos minoristas se materializan utilizando mayor cantidad de instrumentos de pago que los pagos de alto valor y en los más variados contextos, incluyendo, por ejemplo, pagos realizados por una persona en un punto de venta, así como en forma remota. En tercer lugar, los mercados de pagos minoristas están caracterizados por el uso extensivo de sistemas del sector privado para el procesamiento de las transacciones, así como para la compensación y liquidación. Los sistemas de pago de alto y bajo valor de un país están conectados y no operan aislados uno de otro. Por ejemplo, los pagos que un individuo realiza a otro, iniciados desde el sistema de pagos minorista, pueden resultar en una transferencia de fondos entre instituciones financieras a través de un sistema de pagos de alto valor. • Requiere la validación del criptograma del número de identificación personal (PIN) y del chip. o Implementar requisitos de chip y PIN para tarjetas de débito. o Valide los criptogramas de solicitud de autorización generados por tarjeta. o Utilice criptogramas de respuesta de autorización generados por el emisor para los mensajes de respuesta. o Requiere la validación del criptograma de respuesta de autorización generada por tarjeta para verificar los mensajes de respuesta legítimos. • Aislar la infraestructura del sistema de pago. o Requiere autenticación multifactor para que cualquier usuario acceda al servidor de aplicaciones del conmutador. o Confirme que los controles de seguridad del perímetro evitan que los hosts de Internet accedan a la infraestructura de red privada que da servicio a su servidor de aplicaciones de conmutador de pago. o Confirme que los controles de seguridad del perímetro evitan que todos los hosts fuera de los puntos finales autorizados accedan a su sistema, especialmente si su servidor de aplicaciones de cambio de pago es accesible por Internet. • Separe lógicamente su entorno operativo. o Utilice firewalls para segmentar su entorno operativo. o Utilice listas de control de acceso ACLs para permitir / denegar el flujo de tráfico específico entre segmentos de red. o Dé consideraciones especiales a la segregación de segmentos de red que contienen información confidencial (por ejemplo, sistemas de administración de tarjetas) de segmentos de red que requieren conectividad a Internet (por ejemplo, correo electrónico). • Cifre los datos en tránsito. o Asegure todos los enlaces a los motores del sistema de pago con un mecanismo basado en certificados, como “Mutual Transport Layer Security”, para todo el tráfico externo e interno externo. o Limite la cantidad de certificados que se pueden usar en el servidor de producción y restrinja el acceso a esos certificados. • Supervise el comportamiento anómalo como parte de la seguridad por capas. o Configure el servidor de aplicaciones del conmutador para registrar transacciones y auditar de forma rutinaria los registros de transacciones y del sistema. o Desarrolle una línea de base de software, usuarios e inicios de sesión esperados y supervise los servidores de aplicaciones de conmutación para detectar instalaciones de software inusuales, actualizaciones, cambios de cuenta u otras actividades fuera del comportamiento esperado. o Desarrolle una línea de base de los participantes, los montos, la frecuencia y el momento esperados de la transacción. Supervise y marque transacciones anómalas para detectar actividades fraudulentas sospechosas. Recomendaciones para organizaciones con cajeros automáticos o dispositivos de punto de venta • Validar las respuestas del emisor a los mensajes de solicitud financiera. o Implementar requisitos de chip y PIN para tarjetas de débito. o Requerir y verificar códigos de autenticación de mensajes en los mensajes de respuesta de solicitud financiera del emisor. o Realizar la validación del criptograma de respuesta de autorización para transacciones con chip y PIN. Referencias: • CISA, FBI, USCYBERCOM, & Treasury. (26 de Agosto de 2020). FASTCash 2.0: North Korea's BeagleBoyz Robbing. Recuperado el 04 de Septiembre de 2020, de https://us-cert.cisa.gov: https://us-cert.cisa.gov/sites/default/files/publications/AA20-239A_FASTCash%25202.0_North_Korea_BeagleBoyz_Robbing_Banks_S508C.pdf.pdf • COMMITTEE ON PAYMENT AND SETTLEMENT SYSTEMS-BANCO MUNDIAL-CENTRO DE ESTUDIOS MONETARIOS LATINOAMERICANOS (Junio de 2002). www.bcu.gub.uy. Recuperado el 04 de Septiembre de 2020, de https://www.bcu.gub.uy/Sistema-de-Pagos/Documentos%20banco%20Internacional%20de%20Pagos/glosario.pdf
Dirección - Av. Amazonas N 40-71 y Gaspar de Villarroel Quito, Ecuador Teléfono - (+593) 22 272-179
EcuCERT
ecucert Centro de respuesta a incidentes informáticos del Ecuador
Llaves PGP/GPG
(+593) 22 272-179
Envíanos un Correo
Horario de atención: Lunes a Viernes 8:15 - 17:00

Copyright © 2017 EcuCERT