Redbanc la compañía responsable de la red ATM o red de cajeros automáticos de la mayoría de los bancos en Chile, reportó haber sufrido un ataque informático en diciembre de 2018.
Luego que el senador chileno Felipe Harboe, expuso la brecha de seguridad de Redbanc en Twitter, la compañía de red interbancaria confirmó la noticia a través de un comunicado oficial publicado en su sitio web.
Me informan que a fines de diciembre @redbanc sufrió ataque informático a su red de interconexión bancaria. Sería bueno que la empresa transparentara magnitud, riesgos y medidas de control de tal ataque
— Felipe Harboe B (@felipeharboe) January 8, 2019
Aunque Redbanc es una compañía que tiene líneas directas en las redes de todos los bancos chilenos, no ofreció detalles sobre el ataque realizado ni cuantos clientes fueron afectados.
En el mes de diciembre, Redbanc detectó una alerta de potencial amenaza informática, por lo que procedió a activar de manera inmediata todos los protocolos preestablecidos, lo que incluyó aislar el eventual problema, resguardando la seguridad y continuidad operacional de nuestros servicios.
Sin embargo, un reporte realizado por un portal de tecnología en Chile, reveló que la filtración fue ejecutada por un poderoso grupo de piratas informáticos de Corea del Norte y el ataque se produjo luego que un empleado recibió una llamada telefónica vía Skype.
De acuerdo con el sitio Trendtic, un empleado de Redbanc se postuló para un trabajo como desarrollador mediante la plataforma LinkedIn. Posteriormente, el empleado recibió una llamada de los supuestos reclutadores, pero realmente se trataba de los atacantes que, según el reporte, forman parte del grupo Lazarus, uno de los hackers más peligrosos del mundo.
Los atacantes realizaron la entrevista al empleado de Redbanc por Skype, e incluso en español, para no levantar sospechas.
Sin embargo, luego de las estrategias de ingeniería social, pidieron al postulante descargar, instalar y ejecutar un archivo llamado ApplicationPDF.exe, un programa que ayudaría con el proceso de reclutamiento y generaría un formulario de solicitud estándar.
Todo parecía normal, pues el archivo no generó alertas de ningún tipo. Pero lo que el empleado no sabía, era que realmente estaba ejecutando el poderoso malware PowerRatankba, detectado por el investigador de seguridad de FlashPoint luego de analizar el ejecutable.
Vitali Kremez, Director de Investigación en Flashpoint, explicó:
El malware recopiló información de la PC de trabajo del empleado de Redbanc y la envió a un servidor remoto.
La información recopilada incluyó el nombre de usuario de la PC, los detalles del hardware y el sistema operativo, la configuración del proxy, una lista de los procesos actuales, si el host infectado tenía archivos compartidos abiertos RPC y SMB, y el estado de su conexión RDP.
Asímismo, un informe de Proofpoint, señala que PowerRatankba, es una variante de malware previamente vinculado a hacks del Grupo Lazarus, lo que coloca al grupo de hacking como principal sospechoso.
Esta es una muestra de que nadie está excento a este tipo de ataques, por lo que hay que prestar mucha atención a los detalles y la información a la que accedas en la web, pues nunca se sabe realmente quién está del otro lado de la pantalla.