En julio de 2016, un grupo de ciberdelincuentes enmascarados atacó 34 ATM operados por First Bank, uno de los bancos más grandes de Taiwan.
Los autores robaron el equivalente a más de 2 millones de dólares. Los delincuentes no dañaron físicamente los cajeros automáticos, ni utilizaron skimmers o tarjetas bancarias falsas o robadas.
De acuerdo con las imágenes de los sistemas de control de vídeo, los ladrones usaron teléfonos celulares para activar los cajeros automáticos para que les entregue el dinero sin tocar una sola tecla o forzar nada.
Después de esto, los criminales utilizaron un esquema similar en agosto para robar 12 millones de baht (unos jugosos $ 350.000 dólares americanos) de los cajeros automáticos del banco de ahorros del gobierno en Tailandia.
En septiembre pasado, se detectaron los mismos tipos de ataques en Europa; Sin embargo, este hecho no se hizo público.
Los ladrones asumen una enorme cantidad de riesgos con el asalto tradicional, la instalación de skimmers, o el robo de tarjetas de crédito.
Sin embargo, estos métodos permiten a los criminales atacar a sólo un cajero automático y dejar una gran cantidad de evidencia en su contra.
Análisis activo
Los criminales buscan activamente formas de obtener recompensas cada vez mayores y reducir los riesgos: han reorientado su actividad de amenazas físicas a ataques lógicos.
Para realizar un ataque lógico, los cibercriminales acceden a la red local de un banco, que se utiliza para obtener un control total sobre los cajeros automáticos en su sistema.
Los cajeros automáticos se activan a distancia para entregar el dinero con el que fueron cargados para los clientes, permitiendo a los criminales robar grandes cantidades con relativa facilidad.
Con un control total sobre los cajeros automáticos, los delincuentes pueden elegir el tiempo de ataque exacto para saquear los cajeros automáticos recién llenados.
Esto resulta en millones de dólares perdidos, como en el caso del First Bank.
Dicho esto, estos ataques no requieren el desarrollo de software avanzado caro – una cantidad significativa de herramientas utilizadas por los hackers está ampliamente disponible de fuentes públicas, al alcance de cualquier practicante.
En esta nota describo cómo una pandilla actualmente activa accede a los cajeros automáticos infectando la infraestructura bancaria interna en Europa Occidental y Oriental y la región de Asia y el Pacífico.
Llegar a América Latina es solo cuestión de tiempo, el carácter cooperativo de los ciberdelincuentes es muy eficiente y lucrativo.
La ola de ataques de este verano parece haber sido sólo una prueba para evaluar el potencial de ataques lógicos en cajeros automáticos. Se espera que se convierta en uno de los vectores clave de los ataques dirigidos contra los bancos.
Para realizar un ataque lógico, los piratas informáticos acceden a la red local de un banco, que se utiliza para obtener un control total sobre los cajeros automáticos en su sistema. Los cajeros automáticos se activan a distancia para dispensar dinero, permitiendo a los criminales robar grandes cantidades con relativa facilidad.
Con un control total sobre los cajeros automáticos, los delincuentes pueden elegir el tiempo de ataque exacto para saquear los cajeros automáticos recién llenados. Esto resulta en millones de dólares perdidos, como en el caso del First Bank de Taiwan.
Dicho esto, estos ataques no requieren el desarrollo de software avanzado caro – una cantidad significativa de herramientas utilizadas por los hackers está ampliamente disponible de fuentes públicas, como se tratará más adelante en este informe.
Esta nota describe cómo una pandilla actualmente activa accede a los cajeros automáticos infectando la infraestructura bancaria interna en Europa Occidental y Oriental, la CEI y la región de Asia y el Pacífico.
La ola de ataques parece haber sido sólo una prueba para evaluar el potencial de ataques lógicos en cajeros automáticos.
Se espera que se convierta en uno de los vectores clave de los ataques dirigidos contra los bancos.
Los métodos que los criminales usan para entregar correos electrónicos de phishing y para obtener control sobre un controlador de dominio son idénticos a los usados por el grupo Buhtrap, que ha conducido ataques exitosos contra bancos rusos, totalizando 1.800 millones de rublos entre 2015 a enero de 2016.
El cibercrimen muta, pero no cambia de objetivos
Después de que los miembros del grupo fueran arrestados en mayo de 2016 mientras lavaban dinero, la botnet Buhtrap fue vendida a otros hackers, que siguen atacando a empresas rusas y ucranianas.
Supuestamente, al menos una parte del grupo Buhtrap se convirtió en miembros del grupo Cobalt, o más probablemente los miembros centrales de Buhtrap cambiaron su enfoque a los ataques a cajeros automáticos.
Un ATM en la mira
Para que los cajeros distribuyan efectivo, los criminales lanzan programas maliciosos utilizando el estándar XFS (Extensions for Financial Services). A pedido de la red interna del banco, el programa comienza a distribuir notas hasta que las máquinas estén vacías.
Después de cada operación exitosa, el programa registra un registro específico (un archivo llamado disp.txt) con información sobre el número de billetes entregados desde el casete ATM a la mula que se lleva el dinero físico.
El operador (“la mula”) envía este archivo de registro al organizador, que utiliza estos datos para controlar la cadena de entregas.
Una vez que estas acciones están completas, los hackers borran todas las trazas de malware usando SDelete, una herramienta gratuita legítima disponible en el sitio web de Microsoft.
Los ciberdelincuentes también eliminan servidores de bancos internos utilizando el malware MBRkiller capaz de eliminar MBR (registro de arranque maestro).
Este enfoque cuidadoso complica considerablemente la investigación forense.
El programa que hace cajeros automáticos entregar efectivo a demanda es único y se cree que es utilizado por un solo grupo de hackers.
Los criminales son conocidos por tener otros programas maliciosos para los ataques a los cajeros automáticos;
Sin embargo, los especialistas no han logrado recuperarlos.
Estrategias y contramedidas
Los ataques lógicos se pueden detectar y prevenir en cualquier etapa siguiendo las siguientes recomendaciones:
Utilizar sistemas de reglas Yara diseñados para identificar ataques específicos,
Enviar mensajes de correo electrónico sospechosos para el análisis dinámico en un entorno aislado,
Monitorear nuevos métodos y atacar herramientas usando inteligencia de amenazas.
Si usted ha detectado los rastros de un ataque dirigido en cualquier etapa, usted necesita implicar a compañías especializadas para su análisis, su principal activo es dinero, no puede correr riesgos.
Las respuestas incorrectas a este tipo de ataque darán lugar a que la actividad de los malos actores permanezca más tiempo en su red sin ser identificados, permitiendo a los delincuentes alcanzar su objetivo: el robo de efectivo.
El principal vector de infección en las redes bancarias son los correos electrónicos de phishing con documentos adjuntos que contienen exploits y archivos protegidos con contraseña con archivos ejecutados.
Los delincuentes envían correos electrónicos que actúan como el Banco Central Europeo, el fabricante de cajeros automáticos Wincor Nixdorf o los bancos locales.
Aunque la dirección del remitente contiene dominios oficiales, de hecho, los mensajes se envían desde un servidor con un script específico que cambia la dirección del remitente, mientras que los bancos reales y los fabricantes de cajeros automáticos no están relacionados con estos mensajes.
Los correos electrónicos de phishing que fueron enviados desde servidores virtuales con un script de correo anónimo instalado “yaPosylalka v.2.0” (otro nombre del servicio es “alexusMailer v2.0”) desarrollado por cibercriminales rusos, que permitieron enmascarar el phishing de forma concreta.
Entonces los perpetradores comenzaron a usar el software Cobalt Strike, para encubrir la nueva operación, pero de eso les contaré más adelante.
Fuente:itconnect.lat
