Pasar al contenido principal

Malware en ATM

Los cajeros automáticos o ATM (por sus siglas en inglés Automated Teller Machine), se han convertido en uno de los medios más utilizados para realizar transacciones bancarias, permitiendo de manera rápida y sencilla el acceso a dinero en efectivo por parte de los ciudadanos. Así mismo, permiten realizar operaciones de todo tipo (ingresos, consultas de movimientos, transferencias y traspasos, pagos de recibos y multas, compras de entradas, recargas de tarjetas de móviles e incluso comerciar con criptomonedas).

Al igual que cualquier otro dispositivo informático, los ATM están expuestos al malware, por lo que los ataques dirigidos representan una preocupación, por un lado, para las entidades afectadas -ya que el acceso y control del cajero ATM puede llegar a suponer incluso una puerta de acceso a la red de interna de la organización-, y por otro, para los usuarios ante la potencial amenaza del robo de información y dinero por parte de los actores de amenazas.

Objetivo del malware ATM

El principal objetivo del malware ATM es conectarse a los dispositivos periféricos de la máquina ATM para proceder a la retirada de dinero (jackpotting) o la recopilación de información de los usuarios mientras utilizan los dispositivos (skimming virtual). Dependiendo de capacidades del malware podrán realizar una o ambas cosas.

Técnicas utilizadas

El ataque lógico hacia los cajeros automáticos es cada vez más recurrente y los ciberdelincuentes buscan penetrar en los ATM haciendo uso del malware para obtener dinero, interceptar información personal (titulares de la cuenta, nombres, dirección, etc.)  o información financiera (como credenciales bancarias de las víctimas).

A continuación, se describen algunas de las técnicas más utilizadas por los ciberdelincuentes:

  • ATM jackpotting o ataques de retiro de efectivo, es una técnica mediante la cual un ATM infectado entrega dinero al ciberdelincuente sin que este necesite ingresar una tarjeta en el cajero automático. Este tipo de ataques suponen la explotación y manipulación física del sistema del cajero automático utilizando malware u otro dispositivo electrónico llamado black box o caja negra (ordenador, teléfono móvil, tableta o USB, a través del cual, se emiten comandos de cajero automático). Una vez que los ciberdelincuentes cargan el malware y obtienen el control del sistema, fuerzan al cajero para arrojar dinero como una máquina tragaperras.
  • Vulnerabilidades: las vulnerabilidades existentes en estos dispositivos pueden permitir que actores maliciosos utilicen exploits para tomar el control del sistema remoto. Por ejemplo, algunos cajeros funcionan con sistemas operativos desactualizados y sin parches. 
  • Ingeniería social: mediante el envío de correos electrónicos de spear phishing dirigidos a empleados de cualquier entidad objetivo, los ciberdelincuentes adjuntan archivos maliciosos con malware para infectar a la entidad, incluyendo los cajeros ATM.
  • Falsas actualizaciones de software: introducción de malware a través de actualizaciones que se hacen pasar por una actualización de software legítima y que, una vez instalada, permite a los ciberdelincuentes la posibilidad de realizar un ataque de intermediario o Man in the Middle (MiTM, por sus siglas en inglés) para ingresar en la red de la entidad, ejecutar malware y controlar el cajero automático infectado.
  • Infiltración en la red: además de instalar malware mediante el acceso físico al cajero ATM objetivo, los ciberdelincuentes comprometen las redes internas de las entidades para infiltrarse en la infraestructura de cajeros automáticos. A pesar de que esta técnica requiere el envío de correos electrónicos maliciosos para que los empleados ejecuten el malware, una vez infectada la red permitiría la extracción de dinero sin necesidad de buscar los cajeros automáticos objetivo.

Análisis de actividad

El panorama cibercriminal que afecta a las instalaciones de cajeros automáticos en todo el mundo ha evolucionado a lo largo de los años y con ello, el malware en ATM ha ido adquiriendo funciones más sigilosas dirigidas a una multitud de cajeros automáticos, llegando incluso más allá del acceso físico a las máquinas al emplear otros puntos de acceso no físicos, tales como ataques dirigidos a comprometer directamente la red interna de las organizaciones a través de campañas de spear phishing.

La primera variante de malware dirigida a cajeros automáticos data del año 2009, desde entonces el malware ATM se ha convertido en parte importante para el arsenal de muchos ciberdelincuentes debido a la obtención de ganancias económicas de manera rápida.

Según los investigadores, existen más de 20 cepas de malware ATM conocido, algunas de las cuales se dirigen a específicamente a cajeros automáticos marca NCR, mientras que otras se dirigen a cajeros automáticos de la empresa Diebold.

 A continuación, se muestran algunas de las familias de malware más interesantes que figuran en el panorama de amenazas cibernéticas dirigidas a cajeros ATM:

  • Plotus: detectado por primera vez en el año 2013, el malware está diseñado específicamente para obligar al cajero automático a dispensar efectivo, y no para el robo de información del titular de la tarjeta. En un principio la amenaza se enfocó al control y acceso a cajeros electrónicos de la marca NCR situados en México. Desde entonces la amenaza se ha extendido a otros países evolucionando a nuevas variantes que presentan otras funcionalidades añadidas como la opción de enviar comandos a
    través de un móvil conectado por USB además de por el teclado.
  • Padpin-Tyupkin: el malware Padpin fue visto por primera vez en 2014, posteriormente, surgió una nueva versión apodada Tyupkin. Se dirigió a cajeros automáticos europeos y del sudeste asiático con la finalidad de la retirada de dinero en efectivo de los cajeros por los ciberdelincuentes.
  • Anunak: dirigido principalmente a bancos rusos y ucranianos, el malware es una backdoor basada en el troyano Carberp.
  • Carnabak: malware especialmente diseñado para reenviar datos, realizar actividades de espionaje y control de sistemas de forma remota.
  • Ripper: el malware fue utilizado en un ataque coordinado en Tailandia para introducirse en la red del banco y posteriormente distribuir malware a los cajeros automáticos sin necesidad de atacar físicamente los dispositivos.
  • NeoPôcket: descubierto por S21sec en abril de 2014, el malware de robo de información se dirige a los cajeros automáticos fabricados por Diebold, mediante ataques man in-the-middle, registra las entradas del usuario desde ventanas de aplicaciones específicas para luego vender la información obtenida en mercados de la dark web y utilizarse en otras actividades fraudulentas. El malware también está diseñado para ejecutarse durante un corto período de tiempo, tras el cual, borra todo rastros evitando ser detectado.
  • SUCEFUL: herramienta de creación de prototipos de malware ATM diseñada para capturar tarjetas bancarias en la ranura para tarjetas del cajero automático infectado, leer la banda magnética de la tarjeta y/o los datos del chip y deshabilitar los sensores del cajero para evitar la detección inmediata.

Medidas de seguridad y buenas prácticas

Dado que los ciberdelincuentes se dirigen a los cajeros automáticos vulnerables a través de ataques e infecciones de malware desde 2009 y ante un panorama de amenazas que ha ido evolucionado a partir de 2015 con el surgimiento de nuevas familias de malware que presentan capacidades mejoradas, además de los ataques no físicos a través de la red de las organizaciones que permiten el acceso a las máquinas ATM, se recomienda tener en cuenta las siguientes indicaciones dirigidas tanto a usuarios como a empresas afectadas y proveedores de cajeros ATM:

Usuarios:

A la hora de utilizar cajeros automáticos, se han de tener presente las instalaciones del cajero a efectos de identificar posibles indicadores que puedan apuntar a la existencia de malware con el fin del robo de datos o dinero.

  • Utilizar cajeros con apariencia segura.
  • En caso de detectar patrones o comportamientos que puedan indicar la presencia de malware (reinicio del cajero, lagunas en registros de actividad y transacciones, equipos alterados físicamente, etc.) no hacer uso de las máquinas para evitar robos de información.
  • En caso de detectar anomalías en el uso del cajero ATM, registrar cada detalle de lo ocurrido y ponerse en contacto con la empresa para informar del incidente.

Empresas y proveedores

Las organizaciones interesadas y proveedores de cajeros automáticos han de estar vigilantes y adoptar las protecciones necesarias para evitar este tipo de ataques de malware en ATM.

  • Bastionar físicamente el ATM impidiendo así acceder a los puertos de conexión del sistema informático.
  • Realizar comprobaciones periódicas de la integridad de los ATM.
  • Crear y establecer planes y procedimientos para gestionar y responder a ataques lógicos o de malware ATM.
  • Cifrar el disco para impedir que sea manipulado.
  • Planificar y migrar a versiones superiores de Windows los cajeros automáticos
    que ejecuten Windows XP, dado que el soporte ha llegado a su fin.
  • Concienciar a los empleados de empresas para evitar abrir correos electrónicos sospechosos que puedan contener malware.

Referencias

https://securelist.com/atm-pos-malware-landscape-2017-2019/96750/  

https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/diebold-nixdorf-security-alert-2.pdf

Compartir

Compartir en Linkedin