El día 1 de Mayo de 2020, Bleeping Computer, un sitio de ayuda informática fundado por Lawrence Abrams en 2004, un sitio web de recursos para responder preguntas técnicas, informáticas relacionadas a seguridad de la información. Ubicado en el top 20 de los sitios de mejor reputación para obtener información respecto a investigaciones informáticas. Publica usualmente artículos gratuitos, donde incluyen recomendaciones para la limpieza de malware y rootkits de computadoras infectadas así como la publicación de las instrucciones de eliminación de programas espía no autorizados. La revista PC World escribió sobre "sitios como Bleeping Computer, donde voluntarios experimentados ofrecen consejos personalizados", y vinculados a una página de TechHive que lo calificó como un buen lugar para encontrar información imparcial, al igual que Krebs on Security quien usualmente recomienda sus artículos.
¿Qué es el Maze Group?
El 29 de octubre 2019 se detectó una campaña de distribución del poderoso malware Maze a usuarios italianos. Históricamente, el malware ha utilizado diferentes técnicas para obtener acceso, principalmente mediante kits de exploits, conexiones de escritorio remoto con contraseñas débiles o mediante suplantación de correo electrónico o, como en el caso italiano, a través de diferentes agencias o empresas, es decir, la Italian Revenue Agency. Estos correos electrónicos venían con un archivo adjunto de Word que usaba macros para ejecutar el malware en el sistema.
Según la investigación realizada por McAfee Labs realizada tan solo un mes antes y publicada el 26 de Marzo de 2020 el malware es catalogado como una pieza de software de muy alta complejidad, utiliza exploit kits conocidos como Fallout and Spelevo. Esta programado para evitar la detección de antivirus y sistemas de seguridad comúnes así como impedir la ingeniería inversa de su código fuente, es un malware evolutivo de alta calidad que no ataca organizaciones rusas. Maze es una variedad particularmente sofisticada y nueva de ransomware de Windows descubierta en Mayo del 2019 por el investigafor Jerome Segura, anteriormente conocida como ChaChay de origen ruso que apareció por primera vez en 2013 que ha afectado empresas y organizaciones de todo el mundo y exigió que se realice un pago de criptomonedas a cambio de la recuperación segura de datos cifrados.
Ver también: MAZE Ransom-Lo que debes saber
Ver también: Aseguradora Chubb Investiga Ataque de Ransom MAZE
Atribucion del ataque al Banco de Costa Rica
A mediados del mes de abril el grupo hizo pública una parte de la información filtrada en la internet a través de su sitio web, según su nota de prensa, tras intentos fallidos de negociar con el Banco de Costa Rica el grupo tomó la decisión, al igual que con otras de sus víctimas de hacer público una parte de la información secuestrada. Tal y como lo indicarón en su sitio web, aparentemente el grupo luego de varios meses de planeación en 2019, realizó con éxito una exfiltración masiva de información de los procesadores de ATM del Banco de Costa Rica en el mes de Agosto ingresando al sistema de procesamiento de pagos y de forma silenciosa copiando las transacciones bancarias. Indica también el comunicado que realizaron una segunda exfiltración en el mes de Febrero 2020, y para su sorpresa los sistemas continuaban igual que cuando realizaron su primer actividad así que decidieron ejecutar de nuevo una exfiltración masiva de información pero sin bloquear los sistemas del banco utilizando la capacidad de "secuestro" de su software el MAZE Ransom pues durante la pandemia no les pareció correcto.
En su nota principal continuan relatando que lograron obtener alrededor de 11 millones de registros, que incluyen información de varios años de transacciones bancarias así como de historiales de tarjetas de crédito, de donde lograron extraer unos 4 millones de números de tarjetas individuales de clientes costarricenses y unos 140 000 números de tarjetas de tarjetahabientes internacionales.
Al final de la nota indican que de no recibir ningun contacto por parte del Banco de Costa Rica estarán publicando todos los registros obtenidos en la internet debido a que "lo consideran un banco que no le interesa la seguridad de los fondos de sus clientes".
MAZE Group publicó los datos de contacto de varios funcionarios y direcciones internas del banco, números de teléfono y datos de contacto así como lo hizo con otras de sus victimas en un proceso conocido como "shaming" o "verguenza".
En su sitio web publicaron un archivo tipo .csv con datos que reflejan transacciones bancarias desde ATMs y también una lista de unas 200 tarjetas de crédito con los últimos cuatro dígitos cubiertos pero con fecha de caducidad y código de seguridad, normalmente cuando se trata de datos falsos lo que se publica son los últimos cuatro dígitos de la tarjeta para únicamente asustar a usuarios inexpertos en el tema. En este caso al presentar casi todos los números iniciales la probabilidad aumenta aunado al hecho que la información publicada coincide efectivamente con los datos BIN asignados de manera única al Banco de Costa Rica. Este hecho, el nivel de detalle de los registros, junto a la reputación del MAZE GROUP que efectivamente cuenta con la tecnología y recursos para infiltrar organizaciones robustas disminuye en gran medida la probabilidad de que su alegato sea falso.
Dentro de los documentos publicados por el grupo también se incluye una lista específica de procesadores de pagos, aparentemente de sistemas ATM que fueron aparentement vulnerados por MAZE
Muestra de procesadores afectados
ATMAGELROBLE ATMPLAZOLETA ATMVASCONIA ATMPLAZOLETA ATMBAGACES ATMMERCADOSANTACRUZ ATMMONTERREY ATMGOLFITOPUNTARENAS ATMJACOPUNTARENAS ATMRIOCUARTO ATMBAGACES ATMAGEN.FILADELFIA ATMSARCHI ATMPLAZAAMERICA ATMCIUDADCOLON ATMC.C.PLAZAMADRIDTRESRIOS ATMSNRAFAELESCAZU ATMMULTICENTRODESAMPA ATMBARRIO ATMAGENCIAGUAYABO ATMC.C.PLAZAMADRIDTRESRIOS ATMAGENCIACUBUJUQUI ATMOF.CENTRALES ATMPASEOCOLONSUPEROFERTASCARRILLO ATMSNRAFAELESCAZU ATMKRISTALLIMON ATMCIUDADCOLON ATMOFICINASCENTRALES ATMQUEPOS ATMPLAYAHERRADURA ATMC.C.PLAZAMADRIDTRESRIOS ATMCIUDADCOLON ATMC.C.PLAZAMADRIDTRESRIOS ATMAGENCIAGUAYABO AGENCIANOSARAListado de cuentas expuestas archivo: database.csv hecho público por MAZE el día 26 de abril 2020 de cuentras interceptadas entre as fechas 4/2/2019 4:00 y 4/26/2019 4:00
Para verificar el dato BIN de cada tarjeta puede utilizar el servicio BINLIST
Una segunda publicación fue emitida en el sitio web de MAZE el día 3 de Mayo con la siguiente información (Se protegen los datos pero un interesado puede revisar su número de tarjeta contra la lista provista a continuación):
El Banco de Costa Rica negó el mismo viernes 1 de mayo 2020, haber sufrido una vulneración de sus bases de datos y de la información de sus clientes. En un comunicado de prensa el BCR aseguró:
EVENTO del 5 de Mayo
El día 5 de mayo fue publicada una segunda nota de extorsión donde los cibercriminales postearon información relacionada a la red interna del Banco de Costa Rica. En su nota indicaron lo siguiente:
Junto a esta nota fue posteada evidencia obtenida de la red interna del Banco de Costa Rica donde figuraban direcciones IP, nombres de dominio, servidores internos, nombres de dispositivos. En los mismos se logra aprecias la fecha del año 2019. Se presume que estos documentos fueron creados durante la primer intrusión en Agosto del 2019 y han sido liberados recientemente como prueba de la infiltración por parte de MAZE TEAM.
En su amenaza el grupo afirma tener más información que liberaría eventualmente con detalles de los procesadores de pagos internos del BCR y por último liberarían toda la información de tarjetas de crédito interceptadas en dichos procesadores de pagos, alrededor según indican, 4 años de transacciones con al menos 11 millones de registros, 4 millones de números de tarjetas recopilados en este período y al menos 140,000 números pertenecientes a tarjetahabientes extranjeros que utilizaron la infraestructura del Banco de Costa Rica para efectuar sus pagos.
Toda la información fue investigada a través del uso de portales públicos en la internet, el apoyo de ATTICYBER y sus aliados internacionales y de la misma atribución pública de MAZE GROUP y sus portales en línea y está disponible para escrutinio de la comunidad en el siguiente repositorio: https://github.com/xyb3rb3nd3r/BCR-Leak
Conclusiones
El ransomware MAZE es una pieza de software de alta complejidad y eficiencia, especializada en ataques sigilosos y exfiltración de información.
El ataque de ransomware no solo afecta al Banco de Costa Rica. También afecta potencialmente a muchos de los clientes del Banco de Costa Rica, muchos de los cuales son nombres conocidos. Y si experimentan dificultades porque su proveedor financiero se ha visto afectado por el ransomware, usted y su empresa también pueden verse afectados en el corto o mediano plazo.
Lo alentamos a informar a las agencias policiales del incidente y trabajar con ellos y grupos expertos para ayudarlos a mitigar la afectación de este y potenciales ataques subsecuentes.
Si el Banco de Costa Rica indica que sus sistemas no fueron vulnerados, la pregunta es ¿Y entonces cómo llego toda esta información a manos de este grupo de hackers?