Introdução

Foi um ano desafiador para o setor de serviços financeiros e fabricantes de ATMs com um número crescente de incidentes e variantes de ataques de saque. Jackpotting – também conhecido como “ataque à caixa negra” – refere-se a ataques em que uma ATM é manipulada para distribuir todo o seu dinheiro, semelhante a uma slot machine depois de um jackpot num casino, está alegadamente a aumentar desde o início do ano. Na semana passada, as autoridades policiais notificaram as instituições de serviços financeiros sobre a ameaça de ataques lógicos coordenados aos caixas eletrônicos conhecidos como “saques em caixas eletrônicos”. Além disso, o recente ataque ao banco Cosmos na Índia – atribuído ao grupo norte-coreano Lazarus – embora não considerado um ataque típico de jackpot, revela que a infra-estrutura de ATMs de certas entidades de serviços financeiros ainda é vulnerável, particularmente a ataques lógicos. Esta Nota Informativa analisa os ataques de saque em ATMs e as fraquezas que isso pode revelar da indústria de serviços financeiros.

Informação Contextual

ATMs continuam a ser um alvo lucrativo para os criminosos, que usam vários métodos para gerar receitas ilegais. Enquanto alguns confiam em métodos fisicamente destrutivos através do uso de ferramentas de corte de metal, outros escolhem infecções por malware, permitindo-lhes manipular os distribuidores de dinheiro por dentro.

Os criminosos usam diferentes ferramentas e técnicas (físicas, lógicas ou combinadas) para aceder aos ATMs “caixa negra” e contornar todos os controlos de segurança, forçando o levantamento de todo o seu dinheiro. Com algumas exceções, cada caixa eletrônico tem a mesma funcionalidade, um mecanismo de distribuição de dinheiro que é controlado por um sistema operacional usando um computador pessoal (PC) e, portanto, exposto ao risco de ataques lógicos. Os ataques maliciosos, uma sub-categoria desses ataques lógicos, estão se tornando cada vez mais populares entre os criminosos cibernéticos.

Exemplos de ferramentas usadas em ataques de Jackpotting

Endoscópio – Dispositivos médicos estreitos, semelhantes a tubos, com câmeras nas extremidades tipicamente usadas para ver o interior do corpo humano. Usado por fraudadores para ver dentro do ATM e localizar pontos vulneráveis.

Tyupkin malware – Pedaço de malware que permite aos atacantes esvaziar os cassetes de dinheiro do ATM através de manipulação direta. Primeiro identificado pelos pesquisadores de segurança em 2013 como Backdoor.MSIL.Tyupkin, afetando ATMs de um grande fabricante que executa Microsoft Windows 32-bit.

Ploutus.D malware – Identificado pelo nome do arquivo “AgilisConfigurationUtility.exe”, é uma das famílias mais avançadas de malware de ATM, descoberta pela primeira vez no México em 2013. Este malware uma vez instalado via porta USB, permite aos criminosos esvaziar ATMs usando um teclado externo conectado à máquina ou via mensagem SMS.

Cutlet Maker, c0decalc e Stimulator em um kit de ferramentas malware – Malware kit projetado com a ajuda de uma API específica do fornecedor de ATM, a mídia de notícias relatada. Para operacionalizar um ataque usando este kit, os criminosos precisam ganhar acesso direto ao interior do ATM e alcançar uma das portas USB, que é usada para carregar o malware. O c0decalc gera uma senha para garantir os direitos autorais do autor do malware. O Stimulator recupera a informação de status de cassetes de dinheiro de fornecedores específicos (como moeda, valor e quantidade de notas).

Exemplos de técnicas usadas em ataques de Jackpotting:

Manipulação do disco rígido do ATM:

  • Fraudsters vestidos como técnicos de ATM ou através de uma “mula de dinheiro” no local, substituem o disco rígido do ATM por um novo (possivelmente usando uma unidade de polegar carregada por um macaco), para permitir comandos de distribuição não autorizados para a unidade dispensadora de dinheiro.
  • Opcionalmente, o disco rígido do ATM pode ser removido, infectado com malware e reinserido em vez de ser substituído por um disco rígido fornecido pelo atacante.
  • Além disso, os sensores são manipulados usando um endoscópio para enganar o sistema de autenticação. Desta forma, protocolos de comunicação encriptados são contornados no ataque.

Black Box Attack:

  • Fraudsters vestidos como técnicos desligam o PC ATM ou a “caixa negra” desactivando as medidas de segurança lógica.
  • Um endoscópio é usado para olhar dentro do caixa eletrônico e localizar a parte interna do caixa eletrônico onde um cabo pode ser conectado, permitindo a sincronização entre o laptop do criminoso e o computador do caixa eletrônico.
  • O ATM é ligado novamente com o malware já instalado e funcionando no fundo da máquina, aguardando instruções do teclado do ATM para distribuir o dinheiro.

Man-in-the-Middle:

  • Fraudsters instalam um dispositivo adulterando a linha de comunicação entre o PC do ATM ou “caixa preta” e a unidade dispensadora. Na maioria dos casos uma conexão serial RS232 ou USB.
  • O malware finge as respostas do host para retirar dinheiro sem debitar a conta do fraudador.

O que torna estes ataques interessantes para certos criminosos é o baixo conhecimento técnico necessário para executar. Existem muitos tutoriais e guias passo-a-passo disponíveis na web escura para facilitar as coisas para eles. Ainda assim, estes ataques requerem um certo nível de acesso físico ao caixa eletrônico e à exposição da identidade do criminoso para que seja possível executá-los. Os criminosos podem roubar dinheiro dos caixas eletrônicos usando métodos menos complicados do que o jackpot. Há ataques remotos que não dependem do acesso físico ao interior do ATM, que o recente incidente no banco Cosmos é um bom exemplo.

Malware injetado na rede do ATM

Ataqueiros também estão infectando ATMs com malware através das redes das Instituições Financeiras. Quando um atacante ganha acesso à rede de um banco, ele pode instalar malware de um local remoto, transformando o ATM em uma máquina escrava. A etapa final seria o atacante enviar instruções diretamente ao caixa eletrônico, ordenar que ele dispense o dinheiro e ordenar que uma mula o recolha.

Cosmos Bank ATM Heist

Early este mês, um ataque atribuído ao Lazarus Group, ligado à Coréia do Norte, foi responsável por roubar US$ 13,5 milhões do Cosmos Bank da Índia em um ataque agressivo que expôs limitações nas medidas que os bancos usam para se defenderem contra ameaças cibernéticas direcionadas. Ainda não está claro como os atores da ameaça conseguiram inicialmente infiltrar-se na rede do banco. De acordo com uma pesquisa de segurança, baseada em como este ator de ameaças tipicamente opera, os atacantes invadiram através de um email de spear-phishing e depois se moveram lateralmente, dentro da rede do banco, comprometendo a infra-estrutura de ATM da instituição.

Este não foi o típico ataque de cartão básico não-presente (CNP) ou jackpot. O ataque foi uma operação mais avançada, bem planejada e altamente coordenada que se concentrou na infra-estrutura do banco, contornando efetivamente as quatro principais camadas de defesa por orientação de mitigação de ataques de ATM da Europol. Após o compromisso inicial, os atacantes provavelmente alavancaram o software de teste de ATM do fornecedor ou fizeram alterações no software de troca de pagamento de ATM atualmente implantado para criar uma chave proxy maliciosa (MPS). Como resultado, os detalhes enviados da chave de pagamento para autorizar a transação nunca foram encaminhados para a Solução Bancária Principal (CBS), portanto, os cheques no número do cartão, status do cartão (Frio, Quente, Quente), PIN e outros nunca foram realizados. Em vez disso, o pedido foi tratado pelo MPS implantado pelos atacantes que enviaram respostas falsas autorizando transações.

FBI adverte as instituições financeiras sobre um esquema global de saque em ATM

A mídia noticiou que, o Federal Bureau of Investigation (FBI) está avisando as instituições financeiras que os criminosos cibernéticos estão se preparando para realizar um esquema de fraude global e altamente coreografado conhecido como “saque em ATM”. O FBI associou o esquema ao hacking de um banco ou processador de cartões de pagamento e ao uso de cartões clonados em caixas eletrônicos ao redor do mundo. Esta técnica permitiria o saque fraudulento de milhões de dólares em apenas algumas horas. O aviso foi emitido poucos dias antes do assalto ao Cosmos Bank, mas as preocupações com réplicas ainda são eminentes.

Recomendações

Recomendações para operadores de caixas eletrônicos e instituições de serviços financeiros

  • Implementar padrões de segurança EMV. EMV é um método de pagamento baseado em um padrão técnico para cartões de pagamento inteligentes (também chamados de cartões chip ou cartões IC) e para terminais de pagamento e caixas automáticos que podem aceitá-los.
  • Reveja a segurança física dos caixas eletrônicos e considere investir em soluções de qualidade e segurança física robusta e alarme de segurança para caixas eletrônicos.
  • Segure o compartimento superior (caixa superior) de um caixa eletrônico que contém o PC. Essa área deve ser protegida por um alerta de intrusão para evitar abertura não autorizada, ou o bloqueio de acesso à caixa superior deve ser alterado para evitar o uso de chaves-mestras padrão fornecidas pelo fabricante.
  • Implemente soluções de segurança especiais projetadas para terminais de auto-atendimento. Soluções que mantêm o software de ATMs atualizado através de um programa de gerenciamento de segurança de ATMs inteligentes. Considere incluir outros equipamentos conectados ao ATM, como dispositivos de rede e modems, no programa de gerenciamento de segurança.
  • Relatar de forma proativa às autoridades policiais qualquer retirada de quantidade incomum em unidades específicas.
  • Utilizar sistema de detecção de fraude em tempo real ou software de inteligência artificial para detectar roubo de ATM, lavagem de dinheiro e outros crimes financeiros.
  • Aumentar as políticas de segurança do sistema operacional do PC para evitar abuso de privilégios, contas padrão, instalação de software malicioso e acesso não autorizado a recursos como portas USB/CDs/DVDs/discos rígidos.
  • Definir a BIOS para inicializar somente a partir do disco rígido do ATM.
  • Desabilitar o boot a partir de mídia removível por padrão em qualquer dispositivo relacionado ao ATM.
  • Bloquear o uso de dispositivos USB desconhecidos por padrão em qualquer dispositivo relacionado ao ATM.
  • Certifique-se de que o AUTORUN foi total e efetivamente desabilitado em qualquer dispositivo relacionado ao ATM.
  • Deplemente a criptografia do disco rígido para evitar alterações não autorizadas no conteúdo do disco rígido.
  • Implemente requisitos de senha forte e autenticação de dois fatores usando um token físico ou digital quando possível para os administradores locais do ATM. Considere políticas robustas de gerenciamento de senhas. A melhor prática indica que essas senhas devem ser tão complexas quanto a BIOS pode suportar.
  • Limite o uso de aplicativos não aprovados para bloquear a execução de malware.
  • Definir uma política que estabeleça atualizações de software seguras e regulares para todos os softwares instalados em dispositivos relacionados com o ATM.
  • Monitor para tráfego criptografado viajando por portas não padrão.
  • Monitor para tráfego de rede para regiões onde normalmente não ocorrem conexões de saída da instituição financeira.
  • Configurar o sistema para aceitar apenas comunicações iniciais que requerem autenticação no caixa eletrônico. por exemplo, por acesso físico ao cofre. Isto pode impedir que dispositivos não autorizados enviem comandos para o caixa eletrônico.
  • Definir regras para inibir o contorno da proteção da comunicação, por exemplo, rolando para trás o firmware ou reproduzindo mensagens.
  • Estabelecer uma firewall para restringir todas as comunicações de entrada para o caixa eletrônico.
  • Aplicar autenticação da comunicação e proteções de criptografia a todo o tráfego da rede do caixa eletrônico. A recomendação é usar TLS 1.2 ou uma VPN, e implementando MACing para fornecer autenticação criptográfica de mensagens sensíveis.

Recomendações para operadores de ATMs locais

  • Certifique-se de que o ATM está em um ambiente aberto e bem iluminado que é monitorado por câmeras de segurança visíveis. O ATM deve ser fixado com segurança ao chão com um dispositivo anti-lasso que irá deter criminosos.
  • Verifiquem regularmente o ATM em busca de sinais de dispositivos de terceiros (skimmers) conectados.
  • Estejam atentos a ataques de engenharia social por criminosos que possam estar se disfarçando de técnicos de ATM.
  • Implementar alarmes de intrusos e agir de acordo, notificando as autoridades policiais de qualquer possível violação.
  • Chegar o caixa eletrônico com dinheiro suficiente para um único dia de atividade.

Comentários de fechamento

A primeira exploração de caixa eletrônico conhecida publicamente foi apresentada ao mundo na Conferência Black Hat 2010. Anos mais tarde, fraudadores e suas mulas de dinheiro tornaram-se alegadamente ativos em ataques de jackpot, encorajados pela adoção lenta da tecnologia EMV pelos operadores de ATM, segurança física frouxa, monitoramento e manutenção deficientes. Informações descrevendo as ferramentas e técnicas necessárias para a realização desses crimes também se tornaram amplamente disponíveis na teia escura. Todos esses fatores criaram o ambiente ideal para que essa atividade criminosa florescesse. Ainda assim, existe um certo nível de risco para os fraudadores, uma vez que é necessária a presença física para conduzir o ataque. Ataques baseados na rede ATM é a próxima melhor técnica para que os fraudadores possam fazer saques com mais segurança e eficiência. O recente incidente do Cosmos demonstra que é possível que criminosos roubem grandes quantidades de dinheiro de caixas eletrônicos em apenas algumas horas, sem deixar rastro.

Os TTP (táticas/ferramentas, técnicas e procedimentos) usados por criminosos em ataques baseados em redes de caixas eletrônicos são muito similares aos usados em outros tipos de alvos em um ataque cibernético. Além disso, as ameaças cibernéticas e as recomendações de segurança que normalmente se aplicam às redes corporativas também são válidas para ATMs.

No reino desses recentes incidentes de segurança, os gerentes de segurança das instituições de serviços financeiros devem considerar a extensão das medidas de segurança de suas redes corporativas às redes de ATMs como uma questão prioritária, mitigando os riscos de exposição a esses devastadores ataques de saque de ATMs.

Deixe uma resposta

O seu endereço de email não será publicado.