Como cibercriminosos tomaram o controle de um banco por horas

A cibersegurança no setor financeiro é uma atividade cada vez mais desafiadora, que requer extrema expertise e inteligência de ameaças. Especialistas do Kaspersky Lab’s, parceira da KSecurity, anunciaram, no último mês, que um dos maiores bancos do Brasil ficou “prisioneiro” de hackers por cinco horas durante um dia, em outubro de 2016.

Os hackers, que os especialistas acreditam fazer parte de um sofisticado grupo cibercriminoso brasileiro, assumiram o controle de todas as operações on-line do banco e interceptaram todos os dados das transações feitas no Internet Banking, aplicativo móvel, pontos de venda, ATMs e no setor financeiro. Eles conseguiram burlar a cibersegurança no setor financeiro com um intrincado ataque que usou certificados digitais SSL válidos e o serviço de Google Cloud usado na infraestrutura de atendimento telefônico do banco.

Milhões de clientes afetados

Os analistas estimam que talvez milhões de clientes do banco tenham sido afetados em todo o mundo durante o tempo que os hackers estiveram no controle, após uma operação que levou pelo menos cinco meses até o ataque. Quando os clientes acessavam os serviços on-line, eram infectados com um malware disfarçado como uma aplicação de plugin de segurança bancária Trusteer. O malware sequestrava credenciais de login, lista de contatos de e-mail, credenciais de e-mail e de FTP, e também desabilitava os softwares anti-malwares instalados nas máquinas dos clientes, evitando assim a sua detecção.

Dmitry Bestuzhev, diretor das equipes de Pesquisa e Análise do Karpersky Lab´s na América Latina, diz que os hackers conseguiram tomar de assalto o banco ao comprometer o fornecedor de registro de domínios (Domains Name Service -DNS) brasileiro Registro.br, e passaram a ter controle administrativo das contas DNS do banco.

Burlando mais ainda as práticas de cibersegurança no setor financeiro, os hackers obtiveram certificados digitais válidos para acessar os servidores do banco através do Let´s Encrypt, um provedor de certificados legítimo. Com isso, quando um cliente acessava suas contas on-line, era direcionado para sistemas falsos.

Ao mesmo tempo, o banco, que tem mais de US$ 25 bilhões em ativos, 5 milhões de clientes em todo o mundo e 500 agências no Brasil, Argentina, Estados Unidos e Ilhas Cayman, teve sua rede e sistemas bloqueados durante o ataque. Segundo Bestuzhev, “até onde sabemos, nunca aconteceu um ataque desse tipo, nessa escala”.

Outros bancos também estiveram em risco

Os hackers também infectaram as máquinas dos clientes com um malware que tinha como alvo outros bancos, e uma campanha de phishing também visava roubar informações sobre cartões de crédito dos correntistas, burlando os protocolos de segurança no setor financeiro. E como os sistemas, incluindo e-mail, estiveram inoperantes durante cinco horas, o banco não podia enviar alertas. “Os hackers tinham controle total do banco”, diz Bestuzhev.

Além disso, em outras ocasiões, foram detectados ataques de malware voltado a máquinas para pagamento com cartões de crédito (PDV) e sistemas utilizados no processamento dessas transações. E também um ataque DDoS (Distributed Denial of Service) dirigido a bancos, empresas de telecomunicações e sites do governo brasileiro, com botnet de IoT. O ataque, de 400 Gbps, não usou nenhuma técnica de amplificação ou reflexão.

A KSecurity oferece consultoria e serviços gerenciados com uma equipe altamente especializada em segurança e detecção de ameaças. Não importa se você não é um grande banco, estamos prontos para monitorar, analisar, prevenir e responder a incidentes, garantindo a cibersegurança no setor financeiro.

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *