Banco de Chile, virus para distraer y luego robo por 10 Millones de dólares en la red SWIFT, 24 de Mayo

cesar farro
Jun 10, 2018 · 6 min read

Banco de Chile #BancodeChile el 24 de Mayo sufrieron un virus que afectó a más de 9000 Pcs distrayendo al personal del Banco en su solución y en paralelo robarón aprox. US$10 Millones en la red interna SWIFT. Es uno de los incidentes más grandes registrados en nuestra región. Recomiendo estudiar el caso y replicar medidas del Banco como activación de su plan de contingencia y ahora mejoras legales por parte del gobierno entre otras medidas de la superintendencia de Bancos #ciberseguridad

Las informaciones indicaban que mientras se buscaba la recuperación de más de 9,000 PCs y +500 servidores que no podían re-iniciar el sistema operativo (ver abajo un screen shot de una PC) con un problema en el disco duro con una variante del malware tipo #killdisk o #killMBR, en paralelo los ciber-delicentes hacian transferencias usando la red SWIFT aprovechando una vulnerabilidad de día cero.

Desde una mirada externa, algunas conclusiones:

Esto era justamente lo que buscaban los atacantes, pues el virus era sólo un distractor para lograr robar la plata de Banco de Chile, no de sus clientes. ¿El balance final? Los ciberatacantes lograron sustraer cerca de US$10 millones de la entidad ligada al Grupo Luksic y Citibank, por lo que presentaron una denuncia criminal en Hong Kong.

¿Como se llama el malware?:

El malware SWAPQ, “que es un virus de día cero, es decir, que no ha atacado en ninguna parte antes. Si bien existía el tipo de virus, se trataba de un virus mutado.

Hacking SWIFT Banking System:

En el siguiente gráfico se observa que este tipo de incidentes han ocurrido en otros bancos, usando mensajes SWIFT que tienen como origen Bancos de diferentes países y transferido a destinos comunes entre el año 2013 al 2016, allí tenemos de Enero 2015 un Banco de Ecuador.

Para identificar cual es la red hackeada, nos serviría tener un diagrama general de la red de un Banco y comprender que es una red compleja de gestionar ya que tenemos diferentes sistemas.

Ejemplo de intercambio de mensajes SWIFT para transferir dinero entre bancos:

Durante el Incidente, en las redes sociales:

Los primeros twitts del Jueves 24, mostraban algunas PCs con el problema durante el inicio del sistema operativo, se hablaba de más de 9,000 PCs:

Desde redes sociales, se filtraba el mensaje que habría que comunicar a los clientes:

A las 11:30 hora local, en la cuenta oficial se indica a los clientes usar la página web y la aplicación móvil:

En la redes sociales, se empezó a comentar sobre el evento:

El mismo 24 de Mayo, se enviaban algunos correo falsos a los clientes, donde te pedían verificar tu información y brindaban un link falso: https://www.BancodeChile.cl, en la parte inferior del correo.

El día del incidente el Banco, realiza un comunicado oficial donde ya indica que se ha detectado una falla que afectó sucursales, banca telefónica y que han activado su protocolo de contingencia diseñado para mantener la contingencia de los servicios:

Los problemas seguían 1 día después:

El 25 de Mayo, el SBIF (Superintendencia de Bancos e Instituciones Financieras) le pide al Banco un reporte para cuantificar la magnitud del problema registrado el día 24.

Finalmente, El incidente inicia el 24 de Mayo solucionándose entre el 27 y 28 de Mayo. La comunicación oficial del CEO del Banco del robo en la red SWIFT por 10 millones de dólares sale a la prensa el 09 de Junio.

La conclusión final es que los Ciber delicuentes cada vez implementan nuevos malwares que aprovechan vulnerabilidades de día cero con un alto conocimiento previo de la red de un Banco para conseguir un objetivo.

Por ello nuestro desafio es investigar estas nuevas formas de ataque que afectan los servicios críticos de nuestras empresas, monitorizando, alertando las principales vulnerabilidades para aplicar controles que ayuden a mitigar.

En esta operación se necesita personal técnico especializado con conocimientos en Malware, Forensic con Procesos y Herramientas que permitan intercambiar experiencias con otros países, por ejemplo entre CSIRTS (Centro de Respuesta ante Incidentes de Seguridad).

cesar farro

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.