Los piratas informáticos de los cajeros automáticos están mejorando para robar su dinero

Getty Images / JUSTIN TALLIS / Equipo

En la década transcurrida desde que el hacker Barnaby Jack hizo que un cajero automático escupiera dinero en efectivo en el escenario durante la conferencia de seguridad Black Hat de 2010 en Las Vegas, el llamado premio mayor se ha convertido en un pasatiempo criminal popular, con atracos que generan decenas de millones de dólares en todo el mundo. Y con el tiempo, los atacantes se han vuelto cada vez más sofisticados en sus métodos.

En las recientes conferencias de seguridad de Black Hat y Defcon, los investigadores analizaron las evoluciones recientes en la piratería de cajeros automáticos. Los delincuentes han ajustado cada vez más su malware para manipular incluso el software bancario patentado de un nicho para retirar dinero de los cajeros automáticos, sin dejar de incorporar lo mejor de los clásicos, incluido el descubrimiento de nuevos ataques remotos para atacar cajeros automáticos específicos.

Durante Black Hat, Kevin Perlow, el equipo de inteligencia de amenazas técnicas líder en una gran institución financiera privada, analizó dos tácticas de retiro de efectivo que representan diferentes enfoques actuales para el jackpot. Uno analizó el malware para cajeros automáticos conocido como INJX_Pure, que se vio por primera vez en la primavera de 2019. INJX_Pure manipula la interfaz eXtensions for Financial Services (XFS), que admite funciones básicas en un cajero automático, como ejecutar y coordinar el teclado PIN, el lector de tarjetas y el efectivo. dispensador - y el software patentado de un banco juntos para causar jackpot.

Las muestras originales de malware se cargaron en escáneres desde México y luego desde Colombia, pero se sabe poco sobre los actores que utilizan INJX_Pure. Sin embargo, el malware es significativo porque está adaptado a los cajeros automáticos de un banco específico, probablemente en una región específica, lo que indica que puede valer la pena desarrollar malware de uso limitado o de jackpotting dirigido, incluso de uso limitado, en lugar de centrarse solo en herramientas que trabajar en todo el mundo.

"Es común que los actores de amenazas en general usen XFS dentro de su malware para cajeros automáticos para lograr que un cajero automático haga cosas que se supone que no debe hacer, pero la implementación del desarrollador INJX_Pure fue única y muy específico para objetivos particulares ", dice Perlow.

En julio, el fabricante de cajeros automáticos Diebold Nixdorf emitió una alerta similar sobre un tipo diferente de malware, diciendo que un atacante en Europa estaba ganando cajeros automáticos al apuntar a su software propietario.

Perlow también analizó el malware FASTCash, utilizado en campañas de jackpot que la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional atribuyó a los piratas informáticos de Corea del Norte en octubre de 2018. Corea del Norte ha utilizado el malware para cobrar decenas de millones de dólares alrededor el mundo, que coordinó grupos de mulas de dinero que luego recolectan y lavan.

FASTCash no se dirige a los cajeros automáticos en sí, sino a un estándar de transacciones de tarjetas financieras conocido como ISO-8583. El malware infecta el software que se ejecuta en lo que se conoce como "conmutadores de pago", dispositivos de infraestructura financiera que ejecutan sistemas responsables de rastrear y conciliar la información de los cajeros automáticos y las respuestas de los bancos. Al infectar uno de estos conmutadores en lugar de atacar un cajero automático individual, los ataques FASTCash pueden coordinar los retiros de efectivo de docenas de cajeros automáticos a la vez.

"Si puede hacer esto, entonces ya no tendrá que colocar malware en 500 cajeros automáticos", dice Perlow. "Esa es la ventaja, por qué es tan inteligente".

Los ataques van aún más lejos en un entorno de laboratorio controlado. Los investigadores de la empresa de seguridad de dispositivos integrados Red Balloon Security detallaron dos vulnerabilidades específicas en los llamados cajeros automáticos minoristas fabricados por Nautilus Hyosung. Estos son el tipo de cajeros automáticos que se encuentran en un bar o en una tienda de la esquina, en contraste con los cajeros automáticos "financieros" que se usan en los bancos. Las vulnerabilidades podrían haber sido explotadas por un atacante en la misma red que un cajero automático víctima para controlar el dispositivo y distribuir efectivo sin ninguna interacción física.

Hyosung, que tiene más de 140.000 cajeros automáticos instalados en los Estados Unidos, corrigió las fallas a principios de septiembre. Pero como ocurre con muchos dispositivos conectados, puede haber una gran brecha entre ofrecer una solución y lograr que los operadores de cajeros automáticos la instalen. Los investigadores de Red Balloon estimaron que hasta 80.000 cajeros automáticos en EE. UU. Seguían siendo vulnerables.

"Las vulnerabilidades específicas que señalamos, Hyosung hizo un gran trabajo al ofrecer soluciones proactivas para ellas", dice Ang Cui, CEO de Red Balloon. "Pero realmente depende de cada operador de los cajeros automáticos vulnerables el parchear. No me sorprendería que todo el mundo no haya lanzado ese parche todavía".

Las dos vulnerabilidades estaban en los sistemas digitales utilizados para administrar los servicios de un cajero automático. En el primero, los investigadores encontraron que la implementación de XFS tenía una falla que podía explotarse con un paquete especialmente diseñado para aceptar comandos, como decirle al cajero automático que distribuya efectivo. El otro error en los cajeros automáticos ' El sistema de gestión remota también condujo a la ejecución de código arbitrario, lo que significa una adquisición total.

"El atacante tomaría el control y podría hacer cualquier cosa, cambiar la configuración, pero lo más impactante que puede mostrar es ganar dinero", dice Brenda So, científica investigadora de Red Balloon que presentó el trabajo en Defcon junto con su colega Trey Keown.

Nautilus Hyosung enfatiza a Mundo Informático que los investigadores de Red Balloon revelaron sus hallazgos en el verano de 2019 y que la compañía lanzó actualizaciones de firmware "para mitigar las posibles amenazas" el 4 de septiembre ". Hyosung notificó a todos nuestros clientes comerciales que actualicen inmediatamente sus cajeros automáticos con estos parches. y no hemos informado casos de exposición ", dijo la compañía en un comunicado.

En el jackpot delictivo real, los piratas informáticos a menudo pueden simplemente usar ataques físicos o explotar las interfaces digitales de un cajero automático insertando una memoria USB o tarjeta SD maliciosa en un puerto no seguro. Pero los ataques remotos como los que mostró Red Balloon también son cada vez más comunes e ingeniosos.

Aunque todo el software tiene errores, y ninguna computadora es perfectamente segura, la ubicuidad de los premios gordos criminales y la relativa facilidad para encontrar vulnerabilidades en el sistema financiero global para lograrlo todavía parece indicar una falta de innovación en la defensa de los cajeros automáticos.

"¿Qué ha cambiado fundamentalmente entre la presentación de Barnaby Jack y ahora?" Dice Cui de Red Balloon. "Los mismos tipos de ataques que hubieran funcionado contra las computadoras portátiles y los sistemas operativos de las computadoras portátiles hace 15 años en gran parte no funcionarían ahora. Hemos subido de nivel. Entonces, ¿por qué la máquina que contiene el dinero no ha evolucionado? "Eso es increíble para mí".

Esta historia se publicó originalmente en Mundo Informático US

Más historias geniales de Mundo Informático

? Los trenes nocturnos son geniales. Entonces, ¿por qué el Reino Unido no tiene ninguno para Europa?

? Ha comenzado la carrera para crear una vacuna. Esta vacuna de ARNm contra el coronavirus es dos avances en uno

? ¿Necesitas un poco de paz? Estos son los mejores auriculares con cancelación de ruido en 2020

? Escuche The Mundo Informático Podcast, la semana de ciencia, tecnología y cultura, que se entrega todos los viernes

? Siga Mundo Informático en Gorjeo, Instagram, Facebook y LinkedIn