Lazarus, el malware que parece que ha llegado a América Latina

Kaspersky Lab ha publicado de publicar los resultados de una investigación realizada durante más de un año sobre la actividad de Lazarus, el famoso grupo de ciberdelincuentes que supuestamente está detrás del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016 y ha encontrado evidencia de su presencia en países latinos como México, Chile, Costa Rica y Brasil

El robo mencionado está considerado como uno de los mayores cibergolpes realizados hasta el momento y las investigaciones posteriores de diferentes empresas de seguridad TI, entre ellas Kaspersky Lab, atribuyen la autoría a Lazarus, un famoso grupo de ciberespionaje y cibersabotaje responsable de toda una serie de repetitivos y devastadores ataques, conocido desde 2009 por sus ataques a empresas manufactureras, medios de comunicación e instituciones financieras en al menos 18 países.

Aunque después del ataque en Bangladesh el grupo permaneció en silencio, Lazarus siguió en activo, preparando nuevas operaciones para robar fondos de otros bancos, tal y como indica el informe de Kaspersky que añade que “consiguieron introducirse en una institución financiera del sudeste asiático, pero los productos de Kaspersky Lab detectaron el ataque y lo detuvieron, por lo que estuvieron inactivos los meses posteriores”.

Los ataques analizados por los analistas de Kaspersky Lab tuvieron lugar durante varias semanas. Sin embargo, los ciberdelincuentes han podido estar operando durante meses, según Kaspersky. Según los registros de Kaspersky Lab, desde diciembre de 2015 han ido apareciendo ejemplos de malware relacionados con las actividades del grupo Lazarus en instituciones financieras, casinos y desarrolladores de software para compañías de inversión de Corea, Bangladesh, India, Vietnam, Indonesia, Costa Rica, Malasia, Polonia, Irak, Etiopía, Kenia, Nigeria, Uruguay, Gabón, Tailandia y algún otro país

“Aunque los ciberatacantes fueron cuidadosos en borrar sus huellas, al menos uno de los servidores afectados en otra campaña contenía un importante fallo al haberse dejado olvidado uno de los elementos”. El servidor se había configurado como centro de comando y control de malware y las primeras conexiones inieron desde unos pocos VPN/servidores proxy indicando que eran pruebas para el servidor C&C. Sin embargo, había también una conexión corta en ese mismo día que procedía de una extraña dirección IP en Corea del Norte. Este es un detalle que puede indicar un posible origen del grupo Lazarus, creen los expertos.