Cyclosa, el Grupo Detrás de los Mayores Robos de Datos en 2013

El año pasado, el reportero en temas de seguridad Brian Krebs, descubrió que un grupo de criminales logró comprometer a varias compañías, robar información sensible de sus clientes y vender los datos a través de una tienda clandestina de identidades en línea, conocida como SSNDOB. Los atacantes irrumpieron en las redes de importantes negocios que agregan y usan datos de clientes y empresas, así como a una compañía desarrolladora de software. Krebs dio a conocer que los ladrones pusieron a la venta la información robada en SSNDOB, permitiendo así que sus clientes pudieran adquirir datos confidenciales de diversos ciudadanos de los Estados Unidos y el Reino Unido.

Symantec investigó los ataques que llevó a cabo la banda responsable de SSNDOB, a quienes denominamos como grupo Cyclosa. Durante las investigaciones, localizamos a uno de los dueños de este servicio, quien en varios foros en línea se identifica como Armand Arturovich Ayakimyan, un hombre de 24 años, originario de la República de Abjasia. Al adentrarnos en el caso, aprendimos cómo este individuo comenzó a visitar un foro de crimen cibernético buscando información para poder llevar a cabo una operación masiva de ataques para el robo de identidades. Además, Symantec encontró que el grupo Cyclosa también accedió a varias firmas, incluyendo una agencia del gobierno de Georgia, una institución de crédito y un banco.

¿Quién es Armand?

Armand nació el 27 de agosto de 1989 en la República de Abjasia, un territorio ubicado en la vertiente suroccidental de la cordillera del Cáucaso que colinda con Rusia y Georgia. Abjasia y otras regiones sufrieron distintos conflictos de 1991 a 1993. Uno de ellos fue la disputa territorial con Georgia, buscando su independencia, conocido como la Guerra de Abjasia, (de 1992 a 1993). De acuerdo con nuestra investigación, se mudó de Sujumi, capital de Abjasia, a la ciudad de Sochi en Rusia, justo antes de lanzar la tienda SSNDOB.

Uno de los perfiles de Armand en las redes sociales, mismo que ha sido eliminado, menciona que tiene conocimientos en desarrollo Web y TI. También se declara fanático del juego de roles en línea llamado EVE Online.

Pareciera que Armand tuvo pocos movimientos durante su carrera profesional. Colaboró en un estudio fotográfico y fue gerente de ventas para una compañía de cosméticos. Además consideró utilizar sus conocimientos técnicos para trabajos legítimos, ya que escribió sobre la posible creación de un sitio de citas en línea y una página web de bienes raíces para comercializar propiedades en Abjasia. Sin embargo, ninguno de estos proyectos se hizo realidad. En 2013 parecía que Armand trabajaba para una iglesia en Rusia.

Los inicios de Armand en el cibercrimen

Antes de 2007, Armand pudo haber estado involucrado en un fraude enfocado en el robo de datos financieros de ciudadanos australianos. Comenzaba a mostrar sus habilidades en el cibercrimen, pero todavía tenía mucho que aprender para ejecutar fraudes de mayor dimensión.

En 2007 se registró en un foro de cibercrimen y solicitó consejo a otros usuarios sobre el robo de datos de personas a través de conexiones inseguras WiFi. Otro usuario le comentó que utilizara un buscador para investigar más sobre el tema, sugiriendo que Armand todavía tenía mucho que aprender.

Hacia finales de ese año, ya había comenzado a vender información robada, ofreciendo en dichos foros “reportes actualizados” a un precio de $2.50 dólares. Continuó solicitando consejos sobre varios métodos de ataque, así como posibles maneras de secuestrar cuentas de chats.

En 2008 comenzó a experimentar el uso de Troyanos de acceso remoto para obtener información de las computadoras afectadas. Además solicitó servicios de encriptación de datos para el famoso Troyano Pinch mediante un archivo adjunto que permitía ocultar el malware y ligarlo con otros programas. Durante ese año, Armand comenzó a atacar ciudadanos de los Estados Unidos y el Reino Unido, esperando obtener más dinero durante el proceso.

Sus cómplices

A principios de 2009, se encontró evidencia de la asociación de Armand con otras tres personas que utilizaban los pseudónimos “Tojava”, “JoTalbot” y “DarkMessiah” en los foros de cibercrimen. Es posible que hubiera más actores involucrados con la organización, pero estos cuatro individuos fueron identificados como los principales responsables del grupo. Los cuatro llevaron a cabo diversos actos de cibercrimen, como la optimización de motores de búsqueda basada en malware y esquemas de pago-por-click. Además adquirieron y vendieron cuentas de chat secuestradas, robots informáticos, así como información personal y financiera. La relación de Armand con Tojava fue clave para la creación de SSNDOB. Tojava fue el responsable de introducir a Armand al mundo del cibercrimen y los fraudes con tarjetas. Creemos que Tojava desarrolló muchas de las características técnicas de SSNDOB, como su motor de búsqueda y scripts que recopilaban números de seguridad social.

Durante esta etapa, Armand mencionó que había encontrado el ingreso a un “gran sitio FTP”, que le brindó un punto de acceso a los sitios web de varias agencias de viaje. Consultó a otros miembros del foro para saber cómo aprovechar al máximo este acceso. Dos meses después puso a la venta una base de datos de 75,000 a 85,000 pasaportes rusos vencidos, así como el acceso FTP, las cuentas y los “derechos” para ingresar a un servidor. Ésta pudo haber sido la primera brecha de seguridad de gran dimensión que logró Cyclosa.

La creación de SSNDOB

Poco tiempo después de haber comprometido a las agencias de viaje, Armand y Tojava mostraron interés en abrir una tienda en línea para vender identidades robadas y buscar más herramientas para revisar y procesar pagos con tarjetas de crédito. Junto con esto, ambos continuaron afinando la capacidad de ataque de Cyclosa, buscando malware que pudiera borrar a fondo los discos duros para no dejar evidencia alguna a las autoridades, así como alcanzar mayor volumen de tráfico a través de botnets en los Estados Unidos y el Reino Unido.

A finales de ese año, Armand registró el primer dominio de SSNDOB utilizando únicamente su nombre real, apellido y número telefónico. A principios de 2010 SSNDOB fue oficialmente abierta al público. La tienda vendió archivos con información personal con un precio que iba de $0.50 a $2.50 dólares y ofrecía datos crediticios y revisión de antecedentes a un costo de $5.00 a $15.00 dólares.

Las brechas de seguridad

Para mantener el inventario de la tienda, el grupo Cyclosa siguió atacando a compañías en busca de bases de datos con información personal. Además de las brechas que mencionó el reporte de Kreb, Symantec encontró que este grupo comprometió a diversas empresas. En mayo de 2012, Cyclosa atacó una unión crediticia con base en los Estados Unidos. Pocos meses después comprometieron a un banco con sede en California y a una agencia del gobierno de Georgia. Aunque esta agencia no contaba con información acerca de ciudadanos americanos y del Reino Unido, es posible que dicho ataque fuera de interés personal para Cyclosa, tomando en cuenta los antecedentes de Armand.

Revelan a SSNDOB

En marzo de 2013, SSNDOB tuvo su primer traspié cuando Kreb expuso a la tienda en un reporte de investigación. Tres días después de que Kreb presentó el artículo, Armand borró su perfil de la red social europea llamada VK.

Sin embargo, el grupo no dio marcha atrás. Registraron un nuevo domino para SSNDOB y comprometieron la computadora de un empleado de una institución financiera nigeriana con presencia en el Reino Unido. A lo largo de 2013 la banda robó información de varios agentes de datos así como de una compañía desarrolladora de software. Tomando en cuenta cómo estos criminales continuaron incrementado sus actividades en 2013, es muy posible que esta no sea la última vez que escuchemos acerca de Cyclosa.

La siguiente infografía muestra el camino de Armand, desde que inició operaciones de manera individual hasta que formó una banda organizada especializada en el cibercrimen.

cyclosa_infographic_past_to_present_v2[2].png

Protección de Symantec

Symantec cuenta con protección para los ataques mencionados en este documento:

AV

IPS

Leave a Reply