Um relatório publicado pela polícia da cidade de Hyderabad, a quarta maior da Índia (7 milhões de habitantes), sobre a invasão de hackers ao AP Mahesh Co Operative Urban Bank, indica que a organização falhou na tarefa de proteger suas redes. Os invasores conseguiram roubar o equivalente a US$ 3,2 milhões transferindo valores para 115 contas bancárias na Índia e daí para 398 outras, sendo o dinheiro retirado em 938 caixas eletrônicos espalhados pelo país. A perícia policial descobriu o seguinte:
- Os funcionários abriram e-mails desconhecidos e baixaram anexos de malware.
- Não há treinamento adequado para os funcionários sobre e-mails de phishing/segurança cibernética
- Falta infraestrutura de rede adequada
- Todo usuário tem acesso à Internet
- Não foi atualizada a licença do firewall para o período do ataque
- Não há aplicativo anti-phishing
- A sede do banco é conectada às agências sem política de rede adequada, ou seja, uso de proxies
- Não há rede local virtual para mitigar os incidentes
- Não foi utilizado mecanismo IDS (Intrusion Detection System) e mecanismo IPS (Intrusion Prevention System) para prevenir e detectar exploits de vulnerabilidades
Veja isso
Lazarus adquire capacidade de ataque à cadeia de suprimentos
EUA, Inglaterra e Índia, os mais atingidos em ataques desde 2006
O incidente foi informado à polícia no dia 24 de janeiro deste ano: haviam sido atacadas as contas de cinco bancos que eram correntistas do Mahesh. A ação da polícia conseguiu impedir várias transferências e também estornar valores. Equipes policiais foram designadas para prender suspeitos em 14 estados. Um exame dos logs indicou que o acesso havia sido feito por meio do internet banking a partir de proxies com localizações indicando EUA, Canadá e Romênia. Os hackers usaram serviços VPN de uma empresa com sede em Bihar e, a partir deles, os proxies alocados para o Reino Unido.
A perícia cibernética (forensics) concluiu que os hackers entraram no sistema como a ajuda de e-mails de phishing contendo um trojan de acesso remoto (RAT) enviado aos funcionários do banco nos dias 4, 10 e 16 de novembro de 2021. Por meio do software RAT, os hackers tiveram acesso aos computadores do banco. Como todos os sistemas do banco estavam interconectados, foi possível acessar remotamente o servidor core banking do banco. No dia do roubo, os hackers entraram no servidor do core banking e alteraram o saldo nas quatro contas; de lá os valores foram transferidos.
A polícia de Hyderabad prendeu 22 pessoas ligadas ao crime. Toda a operação foi executada em três módulos independentes, coordenados entre si e permitindo o hacking e a transferência de dinheiro. A investigação até agora revelou que os hackers e os chefes da quadrilha estão fora da Índia, provavelmente no Reino Unido e na Nigéria. O valor retirado é transferido para a Nigéria, provavelmente através das moedas Hawala ou Crypto.