Derivado de investigaciones de nuestra firma e información pública obtenida de Niebezpiecznik.pl, un grupo de ciberdelincuentes norcoreanos denominado Lazarus, ha creado un par de vectores de ataque dirigidos a distintas instituciones en Polonia, Estados Unidos, Chile, Colombia, República Dominicana y México entre otros, surtiendo efecto desde octubre de 2016 y hasta hace algunos días.

Conforme a la información existente actualmente y a los análisis hechos a las muestras de malware a las que tuvimos acceso, podemos decir con certeza que ha habido un ataque masivo dirigido a instituciones financieras del país que, según los reportes oficiales, se originó en la Comisión Nacional Bancaria y de Valores (CNBV).

El sitio web de la CNBV fue vulnerado como resultado de investigaciones hechas por Lazarus desde febrero de 2016 (aproximadamente), logrando manipular la redirección de algunos links que contenían informes de sanciones que la Comisión había hecho a diversas instituciones, provocando que se infectaran o convirtieran en objetivo diversas instituciones, siendo estas las siguientes:

  • Bancomer
  • Scotiabank
  • Banco de México
  • Bolsa Mexicana de Valores
  • HSBC
  • Monex
  • Afirme
  • American Express
  • Banco Interacciones
  • Banco Azteca
  • Citibank Mexico

Derivado de la información que obtuvimos, las principales áreas afectadas son las legales, de fraudes y de atención a la CNBV. Es muy importante señalar que puede haber muchos más bancos o instituciones afectadas, pero no hemos tenido acceso a información que lo confirme para poder colocarlos.

Hasta este momento, no hay afectaciones a los bancos o clientes, pero se espera un ataque masivo ya que Lazarus es el grupo que está detrás de los ataques a Sony Pictures, al gobierno de Corea del Sur y a diversos bancos en otros países que han causado pérdidas millonarias o afectaciones reputacionales sin precedentes.

Puede haber distintas hipótesis del por qué hacer un ataque tan focalizado, siendo las más importantes las siguientes:

  1. Buscaban información sensitiva de las áreas jurídicas de los bancos para extorsionarlos
  2. Rastreaban información bancaria de diversas empresas surcoreanas
  3. Obtuvieron información de cuentas clave para hacer un fraude masivo en poco tiempo

Por último, no está de más señalar que, desde la brecha en México, ha incrementado la oferta en Internet de bases de datos de diversos bancos, a costos que van de los $20 a $30 dólares por usuarios. Mientras escribimos esta nota, se publicaron más de 40 anuncios ofertando datos que van desde los números de tarjetas, nombres, domicilios, CVVs y hasta otro tipo de información bancaria como accesos a banca en línea del cliente.