CambioDigital-OL

0

#KLSEC: Robo a bancos con APTs y ataques a cajeros automáticos, nuevas amenazas financieras

kasperskylab_assoliniFabio Assolini, Analista Senior del Equipo Global de Investigación y Análisis de Kaspersky Lab, experto en el tema bancario, cada año en las Cumbres de Analistas de Seguridad que realiza el fabricante ruso, nos pone al día en cuanto a las nuevas herramientas que utilizan los cibercriminales en sus ataques para obtener dinero de sus víctimas.

En la 6ta. Cumbre celebrada recientemente en Los Cabos, México, nos dijo que hasta ahora se había hecho referencia al desarrollo de nuevos troyanos bancarios y a la clonación de tarjetas, como las amenazas a las que el usuario bancario de América Latina estaba expuesto. Estos ataques, aclaró, aún siguen y los criminales continúan desarrollando una gran cantidad de troyanos bancarios para robar las contraseñas de acceso a la banca en línea o los datos de las tarjetas de crédito.  Brasil, Perú, Colombia y México, son los primeros en lanzar estas amenazas, aclaró.

Pero hoy, algunos criminales con visión más abierta, explica el experto, comenzaron a darse cuenta que estos ataques direccionados contra cada usuario y en los que se obtenía una infección por vez, les daba mucho trabajo, si por el contrario, podían direccionar los mismos contra el banco, pues así obtenían un resultado más grande si atacaban directamente a la fuente del dinero.

Y así lo están haciendo hoy. El ejecutivo dijo que si bien los atacantes se enfocan en estas entidades porque obtienen más dinero que atacando empresas o usuarios uno a uno, también son campañas más difíciles de realizar, ya que estas cuentan con equipos dedicados de protección, por lo tanto utilizan otras estrategias como los APTs (Advanced Persistent Threat), Amenazas Persistentes Avanzadas, hacia los cajeros automáticos.

Pero la situación de los cajeros automáticos en América Latina, no es óptima y es por eso que estos nuevos ataques han sido exitosos. Muchos bancos aún usan cajeros viejos, equipos obsoletos que tienen años trabajando y en algunos bancos, la red está mal instalada, está abierta y expuesta. Muchos de estos equipos tienen los cables a la vista y el router, está instalado externamente y arriba del mismo cajero. Además, se da en América Latina la corrupción de algunos empleados quienes trabajan junto a los criminales robando o facilitando el robo del dinero de estos equipos ATM.

En cuanto al software que usan estos cajeros automáticos, son viejos, son sistemas operativos Windows 2000, XP que el fabricante ya no les ofrece soporte, no hay parches de seguridad en caso de falla o de vulnerabilidad. Pero además, de acuerdo a Assolini, otro problema aún peor es el robo o la fuga de datos de la red interna del banco. “La información sobre el software interno usado por el banco, el mismo que gerencia la red de cajeros, tiene gran valor para un criminal al momento de diseñar su plan de ataque”, indicó.


Conozca al malware de cajero
Los cierto es que en la actualidad, hay un fuerte desarrollo de malware de cajeros en toda América Latina y el resultado de este escenario es el Jackpotting, momento en el que el criminal programa el cajero para lanzar afuera todo el dinero que hay contenido en éste. “Parece una escena de película pero es la realidad. Llega el criminal, pone un código en el equipo y de forma mágica, el cajero lanza todo el dinero que contiene. Es así y está pasando en América Latina”, dijo el experto.

Este tipo de malware de cajero no necesita de una conexión con Internet y no requiere tener la central de control y comando. El criminal cuando desarrolla el malware ya lo prepara para infectar al cajero y ya está ahí programado para que el ATM libere todo el dinero. Además, las muestras son muy privadas y  exclusivas, pues las bandas criminales que trabajan con este tipo de malware, las mantienen muy privadas y es difícil hasta para Kaspersky Lab encontrar estas muestras.

Assolini destaca que muchos bancos afectados con estos ataques no cooperan compartiendo información, sea con la industria de seguridad o con otros bancos. “Tienen miedo que estos ataques se tornen masivos y también porque hay una fuerte regulación en el área bancaria en la que no se permite compartir información de los ataques, dan información solo a la policía y no pueden hablar de este tema con más nadie”.

En la mayoría de los casos, explica el analista, el criminal no crea el malware de cajero desde cero, pues tiene acceso al software del banco y lo adapta para usarlo en el ataque, es decir, el malware de cajero es el propio software interno del banco, pero cambiado por el criminal para hacer el ataque o para programar el cajero para darle todo el dinero.

Casos en la Región
En los primeros ataques, los criminales usaban unidades de CDs y USBs en los cajeros, pero hoy la creatividad se amplía, pues con un paraguas y un teclado delincuentes en Brasil, lograron saquear todo el dinero contenido en un cajero automático. “El paraguas se usó para hacer el Jackpotting y para reiniciar la computadora que controla el cajero infectado”, explica Assolini. Ahora los ataques comienzan desde la red interna del banco, o sea, el criminal ataca al banco usando APTs, tiene acceso a toda la red interna de los cajeros, los infectan y programan para robar el dinero”.

El mejor ejemplo para ilustrar lo que está pasando hoy en cuanto al robo de cajeros automáticos es Carbanak, grupo de amenazas persistentes avanzadas que afectaron a bancos de todo el mundo y que llegó a la Región, específicamente, a un banco ecuatoriano, al que le fueron sustraídos US$12 millones.

“El interés criminal por el tema de cajeros va aumentando cada día. Los criminales latinos hoy están hablando en foros de malware de cajeros con sus pares europeos. Se comparten ideas, son criminales latinos que hablan en español y escriben en español. Los criminales hoy intercambian información en cómo pueden vulnerar los cajeros”, explicó. “Es muy fácil para un criminal obtener esta información y también hay un comercio de partes de cajeros que están ahí disponibles, por ejemplo, en Mercado Libre. Es muy fácil para un criminal comprar y vender teclados para cajeros automáticos”.  Otro dato interesante aportado por Assolini es que los cibercriminales no solo tienen interés en el malware de cajero sino además, en el malware de puntos de pago (PoS).

En México: Ploutus, fue un malware de cajero encontrado en 2013, pero su desarrollo sigue aún hasta hoy, pues hay criminales desarrollando nuevas versiones. Este año Kaspersky Lab encontró cuatro nuevas muestras de Ploutus en México atacando cajeros NCR.

En Colombia: Cajeros automáticos fueron infectados por dos tipos de malware: Ploutus en 2014 y Greendispenser en 2015.  La prensa colombiana en 2014 reseñó el caso de un empleado de banco que se sumó a la banda de criminales que robó de un banco US$304 mil en un solo ataque a 14 cajeros que fueron infectados. “Esos ataques aún continúan, pues este año encontramos una nueva muestra nunca antes vista, atacando cajeros Diebold y Wincor Nixdorf”, dijo.

En Brasil: Es el país de mayores ataques de malware de cajeros de la Región y este año, informa el experto, encontraron dos nuevas muestras, la más nueva, apenas la ubicaron días atrás. “El desarrollo de malware en Brasil es totalmente local y está muy bien hecho, fuertemente cifrado, los criminales tienen muy buenos conocimientos de la red del banco y el malware tiene funciones para bloquear la acción de protección del software usado por el banco. En un solo ataque este año en la red de un banco brasileño,  107 cajeros fueron infectados con malware”.

Lecciones aprendidas

-Hay bancos que piensan que no hay problemas y que los ataques no los afectan, pero sí a su competencia.

-Los cibercriminales encontraron la fuente del dinero: atacar directamente al banco.

-Los usuarios creen que si los ataques son direccionados al banco, estos no los afectará. Pero sí, hoy Skimmer, un malware que ahora está en Europa del Este y que tarde o temprano llegará a América Latina, infecta al cajero para robar todo su dinero y además, clona la tarjeta de los clientes.

-El desarrollo de malware de cajero está en franco crecimiento. La causa: cajeros obsoletos, sistemas operativos sin parches, configuraciones de red débiles.

-La gran mayoría de los bancos no están preparados para investigar este tipo de ataque y además, hay corrupción de empleados.

Clelia santambrogio / CWV

Ordenado por: Seguridad Tags: ,

TOT

 

 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB