COBALT: EL CIBERCRIMEN ORGANIZADO GOLPEA LOS CAJEROS AUTOMÁTICOS EUROPEOS

cobalt

 

El malware en cajeros automáticos (ATMs) es un asunto de gran actualidad y que genera una gran preocupación en el sector bancario. El número de ataques está creciendo muy rápidamente y está afectando a toda clase de países y regiones.

En julio de 2016, los cibercriminales consiguieron extraer un total de 2 millones de dólares de 34 cajeros automáticos del banco taiwanés First Bank. En agosto de 2016, consiguieron atacar el banco estatal tailandés Government Savings Bank, permitiendo así a los cibercriminales hacerse con un botín de 350.000 dólares en metálico y forzando al banco a desactivar 3300 cajeros automáticos, o lo que es lo mismo, cerca de la mitad de su red. Tal y como ya anticipamos en un post anterior, era altamente probable que estos ataques se extendiesen a otros países y regiones, y ahora le ha tocado el turno a Europa.

Un informe publicado recientemente por la compañía rusa de ciberseguridad Group IB muestra que un grupo cibercriminal llamado COBALT ha atacado recientemente los cajeros de más de una docena de países en Europa, entre los que se encuentran Reino Unido, España, Rusia, Holanda o Polonia. Esto no hace más que confirmar las tendencias que hemos venido observando últimamente: los ataques a cajeros están cada vez más profesionalizados, mientras que hay un movimiento desde los tradicionales ataques físicos hacia los ataques lógicos, ya que estos últimos conllevan muchos menos riesgos y ofrecen un mayor beneficio económico.

 

Ataques a ATMs desde la red interna

 

La principal novedad en lo que respecta a la última ola de ataques a cajeros es el hecho de que se trata de ataques basados en red, es decir que no se requiere acceso físico al cajero para perpetrarlos, sino que la infección se lleva a cabo desde la propia red interna del banco.

Este tipo de ataque es la táctica más utilizada en la actualidad y, aunque es muy sofisticada y requiere un alto nivel de planificación y habilidades de hacking avanzadas, una vez se logra comprometer la red interna del banco, el ataque resulta extremadamente efectivo y muchos cajeros pueden ser saqueados al mismo tiempo logrando así grandes botines.

Por esta razón, bandas de cibercrimen organizado como COBALT están dedicando grandes esfuerzos a planear cuidadosamente y ejecutar este tipo de ataques.

Así funciona el ataque a cajeros basado en red de COBALT:

  • Los delincuentes obtienen acceso a la red interna de la entidad financiera a través de mails de spear phishing que incluyen archivos adjuntos maliciosos.
  • Una vez consiguen entrar en la red y utilizando técnicas de escalado de privilegios que explotan vulnerabilidades del controlador de dominio y posterior movimiento lateral, los cibercriminales comprometen sistemas críticos con acceso a la infraestructura de los cajeros.
  • Los atacantes crean una red de sistemas infectados que se controla desde un panel de Command & Control operado por la banda y que es indetectable para la entidad financiera.
  • El operador se conecta a los cajeros mediante una conexión vía escritorio remoto y los infecta inyectando el malware. Una vez se ha conseguido esto, todo el ecosistema está preparado para lanzar el ataque.
  • El malware utiliza la capa XFS para tomar, de manera ilegítima, el control completo del dispensador del cajero y de este modo llevar a cabo la sustracción.
  • El ataque está en todo momento controlado por el operador de la banda, que se encarga remotamente de lanzar órdenes de retirada de efectivo e indica a las mulas el momento en el que pueden recoger ese dinero. Se genera un registro de todas estas actividades y se recopilan para asegurarse de que las mulas no operan de forma individual.
  • Por último, una vez se perpetra el ataque, el operador elimina toda prueba de forma remota evitando así que se pueda recuperar ninguna evidencia del mismo.

El modus operadi de este tipo de ataque revela una combinación de sofisticadas técnicas de hacking, un profundo conocimiento de la infraestructura interna del banco y de las operaciones en cajeros y el uso de malware de última generación para cajeros.

Creemos que estamos asistiendo a las etapas iniciales de este tipo de ataques, y que es altamente probable que se extiendan y golpeen a otros países en un futuro cercano.

 

Medidas de seguridad contra el malware en ATM

 

Los ataques con malware son uno de los mayores quebraderos de cabeza en lo que al fraude en cajeros automáticos respecta. Los ciberdelincuentes se muestran extremadamente ágiles e innovadores en la producción de nuevos tipos de ataques lógicos dirigidos a cajeros, dado que estos son mucho menos arriesgados y ofrecen más rédito económico que los ataques físicos. No obstante, este tipo de ataques cuentan con la ayuda de las pobres medidas de seguridad desplegadas actualmente en muchas redes de cajeros.

Todos los cajeros están expuestos a ataques de malware y, por ello, la aplicación de contramedidas de seguridad robustas y eficientes se convierte en una necesidad básica e innegociable.

Además de establecer medidas estándar de seguridad para prevenir la intrusión en la red interna del banco, como la actualización regular del software o la implementación de soluciones anti-APT, la parte crítica de estos ataques reside en el propio cajero, cuyas vulnerabilidades son explotadas para conseguir vaciar la caja fuerte.

Gestionar de forma efectiva la seguridad de una red de cajeros requiere de un modelo de protección exhaustivo que evite la ejecución de software fraudulento (Application Whitelisting) y bloquee los intentos de reemplazo de archivos legítimos (File Integrity Protection). Adicionalmente, resulta fundamental monitorizar los aspectos de seguridad de los cajeros, disponer de una visión centralizada de la red de cajeros y contar con una capa extra de control que permite ejectuar acciones remotas para investigar o reaccionar ante potenciales incidentes.

Aunque no resulta tan relevante para ese tipo de ataques, es altamente recomendable bloquear la conexión de hardware que no sea de confianza (HW Whitelisting), así como evitar la manipulación de datos del disco duro desde fuera del sistema operativo (Full Disk Encryption), dado que estos son otros de los vectores de infección comunes para el malware de cajeros.

 

El enfoque de S21sec acerca de la seguridad en ATMs

 

S21sec cuenta con un amplio conocimiento en el desarrollo de soluciones de seguridad adaptadas a las necesidades del sector bancario. Su producto Lookwise Device Manager es una solución integrada y multifabricante que permite la gestión de la seguridad de la red de cajeros. Lookwise Device Manager ofrece las contramedidas más avanzadas para proteger y responder frente a los ataques lógico-físicos basados en malware. También permite monitorizar aspectos de seguridad de los cajeros, añadiendo una capa extra de control para ejecutar acciones remotas personalizadas. Todo ello se consigue además con un consumo de los recursos mínimo, limitando por tanto el impacto en el rendimiento del cajero.

S21sec además ofrece servicios especializados y avanzados de seguridad para entidades bancarias.

Somos miembros y espónsors de las principales asociaciones del sector tales como ATMIA o ATEFI.

Para más información, póngase en contacto con nosotros.

 

Referencias

 

How a Hacking Spree on European ATMs Points to a New Threat

www.group-ib.com/cobalt.html

 

Juan Ramón Aramendía

Product Marketing Manager de S21sec

Recommended Posts

Leave a Comment