Introducción

Ha sido un año difícil para el sector de los servicios financieros y los fabricantes de cajeros automáticos, con un número creciente de incidentes y variantes de ataques a cajeros automáticos. El jackpotting -también conocido como «ataque a la caja negra»-, que se refiere a los ataques en los que se manipula un cajero automático para que dispense todo su efectivo, de forma similar a como lo hace una máquina tragaperras después de un jackpot en un casino, está aumentando, al parecer, desde principios de año. La semana pasada, las autoridades policiales notificaron a las instituciones de servicios financieros la amenaza de ataques lógicos coordinados contra cajeros automáticos conocidos como «ATM cashouts». Además, el reciente ataque al banco Cosmos de la India -atribuido al grupo norcoreano Lazarus-, aunque no se considera un típico ataque de retirada de dinero, revela que la infraestructura de los cajeros automáticos de ciertas entidades de servicios financieros sigue siendo vulnerable, especialmente a los ataques lógicos. Esta nota informativa revisa los ataques a cajeros automáticos y las debilidades que esto puede revelar del sector de los servicios financieros.

Información contextual

Los cajeros automáticos siguen siendo un objetivo rentable para los delincuentes, que utilizan diversos métodos para generar ingresos ilegales. Mientras que algunos recurren a métodos físicamente destructivos mediante el uso de herramientas de corte de metal, otros optan por las infecciones de malware, lo que les permite manipular los cajeros desde dentro.

Los delincuentes utilizan diferentes herramientas y técnicas (físicas, lógicas o combinadas) para acceder a la «caja negra» de los cajeros automáticos y saltarse todos los controles de seguridad forzando la salida de todo su dinero. Con algunas excepciones, todos los cajeros automáticos tienen la misma funcionalidad, un mecanismo de dispensación de efectivo que está controlado por un sistema operativo mediante un ordenador personal (PC) y, por lo tanto, expuesto al riesgo de ataques lógicos. Los ataques de malware, una subcategoría de estos ataques lógicos, son cada vez más populares entre los ciberdelincuentes.

Ejemplos de herramientas utilizadas en los ataques de Jackpotting

Endoscopio – Dispositivos médicos estrechos, en forma de tubo, con cámaras en los extremos, que se suelen utilizar para ver el interior del cuerpo humano. Utilizado por los estafadores para ver el interior del cajero automático y localizar los puntos vulnerables.

Malware Tyupkin – Pieza de malware que permite a los atacantes vaciar las cajas de los cajeros automáticos mediante su manipulación directa. Identificado por primera vez por investigadores de seguridad en 2013 como Backdoor.MSIL.Tyupkin, afectando a cajeros automáticos de un importante fabricante que ejecutan Microsoft Windows de 32 bits.

Malware Ploutus.D – Identificado por el nombre de archivo de «AgilisConfigurationUtility.exe», es una de las familias de malware para cajeros automáticos más avanzadas, descubierto por primera vez en México en 2013. Este malware, una vez instalado a través del puerto USB, permite a los delincuentes vaciar los cajeros automáticos utilizando un teclado externo conectado a la máquina o a través de un mensaje SMS.

Cutlet Maker, c0decalc y Stimulator en un kit de herramientas de malware – Kit de malware diseñado con la ayuda de una API específica de un proveedor de cajeros automáticos, informaron los medios de comunicación. Para llevar a cabo un ataque con este kit, los delincuentes tienen que acceder directamente a las entrañas del cajero automático y llegar a uno de los puertos USB, que se utiliza para cargar el malware. El c0decalc genera una contraseña para garantizar los derechos de autor del malware. El estimulador recupera la información del estado de los cajeros automáticos de un proveedor específico (como la moneda, el valor y la cantidad de billetes).

Ejemplos de técnicas utilizadas en los ataques de Jackpotting:

Manipulación del disco duro del cajero automático:

  • Los defraudadores disfrazados de técnicos de cajeros automáticos o a través de una «mula de dinero» in situ sustituyen el disco duro del cajero automático por uno nuevo (posiblemente utilizando una unidad de memoria USB cargada de malware), para permitir órdenes de dispensación no autorizadas a la unidad de cajero.
  • Opcionalmente, el disco duro del cajero automático puede ser retirado, infectado con malware, y reinsertado en lugar de ser reemplazado con un disco duro suministrado por el atacante.
  • Además, los sensores son manipulados usando un endoscopio para engañar al sistema de autenticación. De este modo, se eluden los protocolos de comunicación encriptados en el ataque.

Ataque a la caja negra:

  • Los estafadores, vestidos de técnicos, desconectan el PC del cajero o «caja negra» desactivando las medidas de seguridad lógicas.
  • Se utiliza un endoscopio para mirar en el interior del cajero y localizar la parte interna del mismo donde se puede conectar un cable que permita la sincronización entre el portátil del delincuente y el ordenador del cajero.
  • El cajero automático se vuelve a encender con el malware ya instalado y funcionando en el fondo de la máquina, esperando las instrucciones del teclado del cajero para dispensar el dinero.

Man-in-the-Middle:

  • Los estafadores instalan un dispositivo que manipula la línea de comunicación entre el PC del cajero automático o «caja negra» y la unidad dispensadora. En la mayoría de los casos se trata de una conexión serie RS232 o USB.
  • El malware falsea las respuestas del cajero para retirar dinero sin cargarlo en la cuenta del defraudador.

Lo que hace que estos ataques sean interesantes para ciertos delincuentes es el escaso conocimiento técnico que se requiere para ejecutarlos. En la dark web hay multitud de tutoriales y guías paso a paso que les facilitan las cosas. Aun así, estos ataques requieren un cierto nivel de acceso físico al cajero automático y la exposición de la identidad del criminal para llevarlo a cabo. Los delincuentes pueden robar dinero de los cajeros automáticos utilizando métodos menos complicados que el jackpotting. Hay ataques remotos que no dependen del acceso físico al interior del cajero, que el reciente incidente del banco Cosmos es un buen ejemplo.

Malware inyectado en la red de cajeros automáticos

Los atacantes también están infectando los cajeros automáticos con malware a través de las redes de las instituciones financieras. Una vez que un atacante obtiene acceso a la red de un banco, puede instalar el malware desde una ubicación remota transformando el cajero automático en una máquina esclava. La etapa final consistiría en que el atacante envíe instrucciones directamente al cajero automático, le ordene que dispense el dinero y ordene a una mula que lo recoja.

El atraco al cajero automático del Cosmos Bank

A principios de este mes, un ataque atribuido al grupo Lazarus, vinculado a Corea del Norte, fue el responsable de robar 13,5 millones de dólares del Cosmos Bank de la India en un agresivo ataque que ha puesto de manifiesto las limitaciones de las medidas que utilizan los bancos para defenderse de las ciberamenazas dirigidas. Todavía no está claro cómo los actores de la amenaza lograron infiltrarse inicialmente en la red del banco. Según una investigación de seguridad, basada en la forma en que suele operar este actor de la amenaza, los atacantes irrumpieron a través de un correo electrónico de spear-phishing y luego se movieron lateralmente, dentro de la red del banco, comprometiendo la infraestructura de los cajeros automáticos de la institución.

Este no fue el típico ataque básico de tarjeta no presente (CNP) o jackpotting. El ataque fue una operación más avanzada, bien planificada y altamente coordinada que se centró en la infraestructura del banco, eludiendo efectivamente las cuatro capas principales de defensa según la guía de mitigación de ataques a cajeros automáticos de Europol. Tras el ataque inicial, lo más probable es que los atacantes aprovecharan el software de prueba de los cajeros automáticos del proveedor o realizaran cambios en el software del conmutador de pagos de los cajeros automáticos actualmente desplegado para crear un conmutador proxy malicioso (MPS). Como resultado, los detalles enviados desde el conmutador de pagos para autorizar la transacción nunca se reenviaron a la Solución Bancaria Central (CBS), por lo que nunca se realizaron las comprobaciones del número de tarjeta, el estado de la tarjeta (Fría, Caliente, Caliente), el PIN, etc. En su lugar, la solicitud fue manejada por el MPS desplegado por los atacantes enviando respuestas falsas que autorizaban las transacciones.

El FBI advierte a las instituciones financieras sobre un esquema global de cobro en cajeros automáticos

Los medios de comunicación informaron que, la Oficina Federal de Investigación (FBI) está advirtiendo a las instituciones financieras que los ciberdelincuentes se están preparando para llevar a cabo un esquema de fraude global altamente coreografiado conocido como «cobro en cajeros automáticos». El FBI asocia el esquema al hackeo de un banco o procesador de tarjetas de pago y al uso de tarjetas clonadas en cajeros automáticos de todo el mundo. Esta técnica permitiría la retirada fraudulenta de millones de dólares en pocas horas. La advertencia fue lanzada pocos días antes del atraco al Cosmos Bank, pero la preocupación por las réplicas sigue siendo eminente.

Recomendaciones

Recomendaciones para operadores de cajeros automáticos e instituciones de servicios financieros

  • Implementar los estándares de seguridad EMV. EMV es un método de pago basado en un estándar técnico para las tarjetas de pago inteligentes (también llamadas tarjetas con chip o tarjetas IC) y para los terminales de pago y los cajeros automáticos que pueden aceptarlas.
  • Revise la seguridad física de los cajeros automáticos y considere la posibilidad de invertir en soluciones de seguridad física robustas y de calidad y en una alarma de seguridad para cajeros automáticos.
  • Asegure el compartimento superior (top box) de un cajero automático que contiene el PC. Esta zona debería estar asegurada por una alerta de intrusión para evitar la apertura no autorizada, o bien debería cambiarse la cerradura de acceso a la caja superior para evitar el uso de las llaves maestras predeterminadas proporcionadas por el fabricante.
  • Implementar soluciones de seguridad especiales diseñadas para terminales de autoservicio. Soluciones que mantengan el software de los cajeros automáticos actualizado a través de un programa inteligente de gestión de la seguridad de los cajeros. Considere la posibilidad de incluir otros equipos conectados al cajero automático, como dispositivos de red y módems, en el programa de gestión de la seguridad.
  • Informe de forma proactiva a las autoridades policiales de cualquier retirada de cantidades inusuales en unidades específicas.
  • Utilización de un sistema de detección de fraudes en tiempo real o de software de inteligencia artificial para detectar robos en cajeros automáticos, blanqueo de dinero y otros delitos financieros.
  • Hacer más estrictas las políticas de seguridad del sistema operativo del PC para evitar el abuso de privilegios, las cuentas predeterminadas, la instalación de software malintencionado y el acceso no autorizado a recursos como los puertos USB/CD/DVD/discos duros.
  • Configurar la BIOS para que arranque sólo desde el disco duro del cajero automático.
  • Desactivar el arranque desde medios extraíbles por defecto en cualquier dispositivo relacionado con el cajero automático.
  • Bloquear el uso de dispositivos USB desconocidos por defecto en cualquier dispositivo relacionado con el cajero automático.
  • Asegurarse de que el AUTORUN ha sido total y efectivamente desactivado en cualquier dispositivo relacionado con el cajero automático.
  • Implantar la encriptación del disco duro para evitar cambios no autorizados en el contenido del mismo.
  • Implantar requisitos de contraseñas fuertes y autenticación de dos factores utilizando un token físico o digital cuando sea posible para los administradores locales del cajero automático. Considere políticas sólidas de gestión de contraseñas. Las mejores prácticas indican que estas contraseñas deben ser tan complejas como el BIOS pueda soportar.
  • Limite el uso de aplicaciones no aprobadas para bloquear la ejecución de malware.
  • Defina una política que establezca actualizaciones de software seguras y regulares para todo el software instalado en los dispositivos relacionados con el cajero automático.
  • Supervisar el tráfico cifrado que viaja a través de puertos no estándar.
  • Supervisar el tráfico de red hacia regiones en las que normalmente no se producen conexiones salientes de la entidad financiera.
  • Configurar el sistema para que sólo acepte comunicaciones iniciales que requieran autenticación en el cajero. por ejemplo, mediante el acceso físico a la caja fuerte. Esto puede impedir que dispositivos no autorizados envíen órdenes al cajero.
  • Defina reglas para impedir que se eluda la protección de las comunicaciones, por ejemplo, haciendo retroceder el firmware o reproduciendo los mensajes.
  • Establezca un cortafuegos para restringir todas las comunicaciones entrantes al cajero.
  • Aplique protecciones de autenticación y cifrado de las comunicaciones a todo el tráfico de la red del cajero. La recomendación es utilizar TLS 1.2 o una VPN, e implementando MACing para proporcionar autenticación criptográfica de los mensajes sensibles.

Recomendaciones para los operadores de cajeros automáticos locales

  • Asegúrese de que el cajero automático se encuentra en un entorno abierto y bien iluminado que esté vigilado por cámaras de seguridad visibles. El cajero automático debe estar fijado de forma segura al suelo con un dispositivo antiescapes que disuada a los delincuentes.
  • Revise regularmente el cajero automático en busca de signos de dispositivos de terceros conectados (skimmers).
  • Esté atento a los ataques de ingeniería social por parte de delincuentes que puedan hacerse pasar por técnicos de cajeros automáticos.
  • Instale alarmas contra intrusos y actúe en consecuencia notificando a las autoridades policiales cualquier posible infracción.
  • Considere la posibilidad de llenar el cajero automático con el dinero suficiente para un solo día de actividad.

Comentarios finales

El primer exploit para cajeros automáticos conocido públicamente se presentó al mundo en la Conferencia Black Hat de 2010. Años más tarde, los defraudadores y sus mulas de dinero se volvieron supuestamente activos en los ataques a cajeros automáticos, alentados por la lenta adopción de la tecnología EMV por parte de los operadores de cajeros automáticos, la laxitud de la seguridad física y la escasa supervisión y mantenimiento. La información que describe las herramientas y técnicas necesarias para llevar a cabo estos delitos también se hizo ampliamente accesible en la web oscura. Todos estos factores crearon el entorno ideal para que esta actividad delictiva floreciera. Aun así, existe un cierto nivel de riesgo para los defraudadores, ya que se requiere la presencia física para llevar a cabo el ataque. Los ataques basados en la red de cajeros automáticos es la siguiente mejor técnica para que los defraudadores puedan cobrar de forma más segura y eficiente. El reciente incidente de Cosmos demuestra que es posible que los delincuentes roben grandes cantidades de dinero de los cajeros automáticos en sólo unas horas, sin dejar rastro.

Las TTP (tácticas/herramientas, técnicas y procedimientos) utilizadas por los delincuentes en los ataques basados en la red de cajeros automáticos son muy similares a las utilizadas en otro tipo de objetivos en un ciberataque. Además, las ciberamenazas y las recomendaciones de seguridad que suelen aplicarse a las redes corporativas también son válidas para los cajeros automáticos.

En el ámbito de estos recientes incidentes de seguridad, los responsables de seguridad de las instituciones de servicios financieros deberían considerar la posibilidad de ampliar sus medidas de seguridad de la red corporativa a las redes de los cajeros automáticos de forma prioritaria, mitigando los riesgos de exposición a estos devastadores ataques a los cajeros automáticos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.