El nuevo fraude de cajeros automáticos hace que robar un banco sea más fácil

0
133

Por Michal Salat, Director of Threat Intelligence at Avast

 

Los fraudes contra los bancos se están volviendo más comunes y los atacantes utilizan métodos sofisticados para robar grandes cantidades de dinero. Hemos sido testigos de grandes ataques a los cajeros automáticos a nivel mundial en los últimos meses; En Tailandia, India, América Latina, en toda Europa y en otros países alrededor del mundo. En estos incidentes, los atacantes lograron robar millones de dólares.

Los ataques de los bancos se dividen en dos categorías principales: las que apuntan al consumidor y las que apuntan a las instituciones financieras.

La primera y más antigua categoría son los ataques que apuntan principalmente a clientes bancarios y software de banca en línea. Algunas técnicas que usan los atacantes incluyen:

  • Secuestro de la pantalla de conexión bancaria en línea
  • Evitar u omitir funciones de seguridad como teclados virtuales o autenticación de dos factores
  • Instalación de un software espía de acceso remoto personalizado (RAT) spyware en el equipo infectado. (Este modelo sigue siendo muy popular en Sudamérica y Asia.)

Me centraré en la segunda categoría de ataques: ataques que se dirigen directamente a las instituciones bancarias y sus sistemas internos; computadoras de los empleados de bancos y redes internas, lo que permite a los atacantes acceder a otras partes de toda la infraestructura, como terminales de pago (POS), cajeros automáticos o transferencias bancarias internacionales; y registros críticos.

Los atacantes utilizan a menudo amenazas persistentes avanzadas (APT), ingeniería social o spear-phishing contra los empleados de los bancos internos y externos, para obtener acceso a los sistemas internos. En algunos casos, los ejecutores se las arreglan para atacar sólo la red interna de ATM y, eventualmente, atacan físicamente a un ATM y propagan la infección a todas las demás máquinas de la misma red.

Uno de los últimos ataques de este tipo fue una infección masiva de cajeros rusos a través de la red interna de una institución bancaria. Según la información en medios rusos, el ataque fue especialmente interesante, ya que utilizó malware sin archivos que se ejecuta en la memoria de la máquina, y es resistente al reinicio del sistema operativo del ATM infectado, que son comúnmente basados ​​en Windows.

A partir de esta información, presumimos que el malware se puede almacenar, por ejemplo en el registro de arranque maestro del disco duro de la máquina (MBR), dentro del firmware (BIOS / UEFI) o como malware de poweliks, que es un malware conocido por ocultarse en el Registro de Windows.

Después de ingresar un código especial, el cajero automático infectado repartirá todo el dinero del primer dispensador, donde normalmente se almacenan los billetes de mayor valor nominal. Este método también se denomina “ataque jackpotting de ATM”, y ya ha sido utilizado varias veces en el pasado.

Las infecciones de los cajeros automáticos ocurren con mayor frecuencia y están reemplazando gradualmente skimming methods, donde los atacantes tuvieron que colocar su equipo en un cajero automático específico, haciendo que el riesgo de ser descubierto fuera alto.

Fraude bancario como negocio 

Los grupos de fraude bancario más infames son Metel, GCMAN, Carbanak, Buhtrp/Cobalt, y Lazarus. Todos estos grupos son muy calificados y consisten en profesionales con profundo conocimiento sobre la tecnología bancaria, hacking y programación. Probablemente estén vinculados a grupos de mafia clandestinos y de lavado de dinero y podrían tener acceso a empleados corruptos del banco y a personas internas. Todos estos grupos han estado en la lista de varias instituciones de aplicación de la ley como el FBI o Europol durante muchos años, pero sus cerebros y miembros aún permanecen escondidos en algún lugar de la infinidad de Internet y de la red oscura.

Su trabajo requiere mucho tiempo y la preparación de “One Big Heist” podría llevar meses de monitoreo, intrusión en nuevos sistemas, servidores, redes, y estudiando sistemas internos, mecanismos de verificación, otras reglas y cuotas de regulación. Cualquier pequeño error de los grupos de fraude bancario puede ser fatal para ellos, y conducir a la detección de sus actividades sospechosas. Para protegerse durante su ataque final, son meticulosos acerca de limpiar correctamente todos los rastros y registros de actividades ilegales de distancia – un paso importante que requiere acciones cuidadosamente planificadas.

Con cada robo exitoso, los atacantes recaudan fondos para financiar toda su infraestructura, desarrollan malware, recolectan exploits, pagan money mules, lavan dinero y dañan a los banqueros.

Los sistemas bancarios de ciberseguridad necesitan fortificarse

Aunque los cajeros automáticos generalmente están bien protegidos contra ataques físicos, casi todos usan el sistema operativo Windows (CE / 2000 / XP / 7). No sabemos si los sistemas operativos de los cajeros automáticos se actualizan y reparen regularmente, y los cajeros automáticos probablemente dependen del software de seguridad instalado en la red interna. Una red es tan segura como su eslabón más débil, por lo que una vez que se rompe la red interna, los cajeros automáticos en la red son un objetivo fácil. Por lo tanto, para proteger sus cajeros automáticos y sistemas contra estos ataques, los bancos deben centrarse más en sus políticas y tecnología de seguridad interna, así como en su seguridad ATM.

Los tiempos han cambiado, y parece que se ha vuelto más fácil robar un cajero automático de forma electrónica que el uso de los viejos métodos. Esto puede traernos más seguridad física, pero expone nuevos problemas y desafíos que los bancos deben abordar.