Economía y Empresas > ataque
Hackean casi 4 mil cuentas de banco offshore de las Islas Caymán
Se confirmó este lunes que ciberactivistas hackearon la base de datos del Cayman National Bank (Banco Nacional de las Islas Caymán) de la Isla de Man (en Reino Unido) y afirman haber robado dinero, documentos y correos electrónicos de miles de clientes. Además, ofrecieron una recompensa de US$ 100.000 para quien haga lo mismo contra empresas que podrían conducir a la divulgación de documentos en interés público. El reconocido hacktivista Phineas Fisher se adjudicó el ataque.
El sitio Distributed Denial of Secrets (dedicado a recopilar y ofrecer todo tipo de información de interés público relacionada con ataques informáticos) ha comenzado a publicar copias de los servidores del banco, un caché de documentos, así como comunicaciones entre banqueros y otros.
La filtración, hasta el momento, ya alcanza los 2 Terabytes. Según se estima, en el documento se encuentran 1.400 cuentas de clientes: entre ellas hay 780 de la Isla de Man, 272 de Chipre, 153 del Reino Unido, 107 de las Islas Caimán, 51 de las Islas Vírgenes Británicas, 12 de las Seychelles, 11 de los Estados Unidos, 7 de Belice, 7 de Irlanda y un pequeño número de otras jurisdicciones involucradas en la banca offshore, como Gibraltar, Jersey, Saint Kitts y Nevis, Barbados, Guernsey, Malta y Mauritius.
Los documentos también incluyen información financiera detallada sobre más de 3.800 compañías, fideicomisos y cuentas individuales administradas por Cayman National para clientes de todo el mundo, incluidos los saldos de cuentas.
¿Cómo fue el hackeo?
Si bien hasta el momento se desconoce cuál fue la operación que permitió robar los datos, se puede especular a partir de otro documento que se encontraba junto a la base de datos filtrada. Phineas Fisher adjuntó un informe forense de la compañía consultora PwC donde se detalla la supuesta operativa detrás del hackeo.
Según el informe forense, el ataque ocurrió realmente en 2016 y no en 2019 como informa la institución financiera. La sospecha surgió a partir de movimientos inusuales del sistema Swift (el sistema tecnológico para las transacciones bancarias). La investigación de la consultora confirmó que los movimientos de dinero no eran legítimos.
El informe explica que los atacantes parecen haber obtenido acceso remoto privilegiado a los servidores y que lograron tener "acceso total a los sistemas de red" del Banco. A través de diferentes malwares, los atacantes lograron no solo generar transacciones fraudulentas sino también robar los datos.
Los atacantes ingresaron inicialmente a través de 7 servidores vulnerables. Según el informe adjunto a la base de datos, se utilizó un script PowerShell malicioso. Esta técnica permite cargar y ejecutar, en memoria, ejecutables maliciosos y librerías de distinto tipo. La idea es poder evadir las medidas de seguridad estándar.
Según PwC, así se vulneraron ciertos servidores (como los de servicios de mail) que podrían haber permitido a los atacantes obtener las credenciales necesarias para penetrar más profundamente en los sistemas.
El Cronista-Ripe
