Lazarus es un grupo de ciberdelincuentes que se dedica a asaltar bancos, empresas de fondo y entidades que manejan grandes volúmenes de dinero. Se les conoció en todo el mundo tras el robo de 81 millones de dólares a un banco de Bangladesh, del que son los principales sospechosos.
Esto sucedió hace un año -aunque Lazarus lleva operando desde 2009-. Desde entonces, la firma de seguridad Kaspersky ha estado siguiendo su rastro digital, investigando qué es lo que están haciendo.
Aunque después del ataque de Bangladesh el grupo permaneció en silencio, siguió preparando en la sombra golpes contra otros bancos.
Así, Lazarus consiguió entrar en una institución financiera del sudeste asiático pero la seguridad informática de la entidad consiguió parar el golpe a tiempo. Tras este incidente, volvieron a cobijarse en la sombra para dirigir la mirilla hacia el Viejo Continente, donde intentaron vulnerar de nuevo instituciones pero tampoco lo consiguieron.
Así golpea Lazarus
Cada vez que se produce un ataque a una entidad cualquiera, tanto en el mundo físico como en el virtual el atacante suele deja huellas, que permiten abrir una investigación.
Kaspersky cuenta con técnicos forenses, digitalmente hablando, que investiga el rastro que los ciberdelincuentes dejan en Internet. Tras analizar lo sucedido durante el último año la compañía ha desentrañado el modus operandi de Lazarus.
El empleado es quien abre la puerta
El objetivo final de los cibercrimnales es entrar en la red informática del banco. ¿Cómo conseguirlo? Existen muchas maneras, y una de ellas es tan sencilla como conseguir que algún empleado del banco 'abra la puerta' en el caso de que no haya ninguna ya abierta o fácilmente vulnerable. Pensemos en el equipo de desarrollo informático de cualquier banco.
Si esos desarrolladores necesitan ir a páginas de terceros para hacerse con herramientas necesarias en su quehacer diario -programas, aplicaciones...-, lo que hace Lazarus es añadir a esas páginas, con menos seguridad generalmente que la de un banco, sofware malicioso que no será más que una ganzúa con la que los cibercriminales ya estarán dentro de la organización.
Un trabajo de meses
Una vez que la víctima ha visitado esa esta web y el empleado de banc tiene el malware instalado en su ordenador, Lazarus, ya desde dentro, establece corredores para que el software se mueva a su antojo dentro del sistema informático de la entidad.
Finalmente despliegan un malware especial capaz de evitar las medidas de seguridad del software financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.
Lazarus, allí donde allá dinero
Según Kaspersky, desde diciembre de 2015 han ido apareciendo ejemplos de malware relacionados con las actividades del grupo Lazarus en instituciones financieras, casinos y desarrolladores de software para compañías de inversión de Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malasia, Polonia, Irak, Etiopía, Kenia, Nigeria, Uruguay, Gabón, Tailandia y algún otro país. Los últimos ejemplos de los que hay conocimiento han sido detectados en marzo de 2017, lo que evidencia que los cibercriminales no parecen tener intención de parar.
Aunque los ciberatacantes fueron cuidadosos en borrar sus huellas, al menos uno de los servidores afectados en otra campaña contenía un importante elemento de investigación que los cibercriminales olvidaron. Lo que no se sabe es si lo olvidaron realmente o están jugando al despiste.