Los empleados de al menos seis bancos rusos recientemente fueron el objetivo de un ataque por correo electrónico bien elaborado donde cibercriminales se hacían pasar por el Banco Central de Rusia.

El incidente es el último de una serie de ataques de malware contra instituciones financieras durante el año pasado. Juntos indican un cambio en el enfoque de muchos grupos de ciberdelincuentes, es decir, robar el dinero de los clientes del banco para robar el dinero directamente de los propios bancos.

De acuerdo con investigadores de Symantec, empleados de diferentes bancos rusos recibieron mensajes de correo electrónico durante diciembre en los cuales les ofrecían trabajo en el Banco Central de Rusia. Los mensajes fueron enviados desde un dominio que se parecía mucho al el Banco Central de Rusia y contenía un enlace a un archivo con un troyano llamado Ratopak.

Ratopak abre una puerta trasera en las computadoras infectadas y permite a los atacantes para registrar las pulsaciones de teclado, recuperar los datos del portapapeles y de forma remota ver la pantalla. También puede descargar y ejecutar otros archivos maliciosos y herramientas.

El enfoque estrecho de los ataques y el hecho de que la mayoría de los equipos afectados se utilizaron para la contabilidad, sugiere que los cibercriminales detrás de él estaban motivados financieramente, según dijo el investigador de Symantec en el blog. "Usando Ratopak, se puede abrir una puerta trasera y registrar las pulsaciones del teclado, los atacantes podrían posicionarse para robar el dinero, ya sea mediante el control del equipo afectado o el uso de credenciales de acceso robados de los empleados."

Eso es una reminiscencia de otros ataques contra las instituciones financieras, especialmente en Rusia. A principios de este mes, los investigadores de Kaspersky Lab informaron sobre las actividades de tres grupos que en el transcurso del año pasado infectaron con malware las computadoras de 29 bancos rusos.

Estos grupos utilizan suplantación de identidad muy específica, malware personalizado y técnicas de movimiento lateral avanzadas, que anteriormente fueron asociadas principalmente con las campañas de ciberespionaje. Su objetivo era robar el dinero usando las técnicas sutiles, después de obtener una buena comprensión de los sistemas internos de los bancos y los procedimientos operativos.

El ejemplo más claro es el grupo conocido como Carbanak. Según los investigadores de seguridad, el grupo robó aproximadamente $ 1 billón de los bancos en al menos 25 países a lo largo de dos años hasta que fue desenmascarado a principios de 2015.

Con más grupos de ciberdelincuentes adoptando esta estrategia, los bancos tendrán que prestar más atención a la seguridad de sus redes internas y formación de los empleados, además la de sitios web públicos que son utilizados por clientes.