Kaspersky Lab acaba de publicar los resultados de una investigación realizada durante más de un año sobre la actividad de Lazarus. Se trta de un famoso grupo de ciberdelincuentes que supuestamente está detrás del robo de 81 millones de dólares al Banco Central de Bangladesh en 2016. Este robo está considerado uno de los mayores cibergolpes realizados hasta el momento y las investigaciones posteriores de diferentes empresas de seguridad TI, entre ellas Kaspersky Lab, atribuyen la autoría a Lazarus, un grupo de ciberespionaje y cibersabotaje responsable de una serie de repetitivos ataques en, al menos, 18 países. Aunque después del ataque en Bangladesh el grupo permaneció en silencio, Lazarus siguió en activo, preparando nuevas operaciones para robar fondos de otros bancos. Consiguieron introducirse en una institución financiera del sudeste asiático, pero los productos de Kaspersky Lab detectaron el ataque y lo detuvieron. Después se dirigieron a Europa, pero de nuevo fueron neutralizados por el software de detección de Kaspersky Lab, así como por el trabajo de los equipos de respuesta rápida, análisis forense e ingeniería reversa de compañías de investigación.

Así, tomando como base los resultados del análisis forense de estos ataques, los analistas de  Kaspersky Lab han sido capaces de reconstruir el modus operandi del grupo, que sigue estos pasos:
• Compromiso inicial: Un sistema sencillo del banco se ve comprometido, bien remotamente a través de un código de acceso vulnerable o mediante un ataque wateringhole aprovechándose de un exploit instalado. Una vez que se visita esa esta web, el ordenador de la víctima (el empleado de banco) recibe el malware que agrega componentes adicionales.
• Posición establecida: Es entonces cuando el grupo se mueve a otros hosts del banco y despliega backdoors permanentes, permitiendo que el malware vaya y venga como quiera.
• Reconocimiento interno: El grupo se dedica durante días y semanas a conocer la red e identificar aquellos recursos de valor. Uno de esos recursos puede ser un servidor de backup, donde se almacena información de autenticación, un servidor de correo o los registros de procesos de transacciones financieras.
• Entregar y robar: Finalmente despliegan un malware especial capaz de evitar las medidas de seguridad del software financiero, procediendo a emitir transacciones no autorizadas en nombre del banco.