LOS ATAQUES DE ATM JACKPOTTING LLEGAN A EE.UU

Los operadores americanos de ATM han comenzado el 2018 con un nuevo dolor de cabeza al que enfrentarse, debido a las últimas noticias que indican que el ATM Jackpotting (una técnica cibercriminal ampliamente extendida en LATAM, Asia y Europa), ha llegado a los cajeros automáticos americanos.

El servicio secreto de Estados Unidos ha informado que un grupo coordinado de ciberdelincuentes ha estado atacando cajeros automáticos por todo el país durante las primeras semanas de este 2018, generando pérdidas estimadas de más de un millón de dólares.

La técnica de este ataque, conocida como ATM Jackpotting, se basa en el uso de malware (en este caso, Ploutus-D), para robar elevadas cantidades de dinero en efectivo desde un cajero automático sin necesidad de usar tarjetas de crédito o débito. Ésta técnica se ha venido utilizando de forma extensiva en diferentes puntos geográficos del mundo durante los últimos años, por lo que había pocas dudas de que, tarde o temprano, llegaría a tierras americanas.

En este post comentaremos la naturaleza y modus operandi de los ataques de ATM Jackpotting, los motivos por los que los delincuentes fijan su objetivo en los cajeros automáticos y, finalmente, las contramedidas que se recomienda implementar a los propietarios de redes de cajeros automáticos.

 

El objetivo: ATMs Diebold de carga frontal

El ataque revelado por el servicio secreto de Estados Unidos apunta a un modelo particular de cajeros automáticos Diebold de carga frontal (series Opteva 500 y 700), con Advaced Function Dispenser (AFD), que se ubican normalmente en localizaciones físicamente expuestas como comercios, farmacias o áreas de auto-servicio. El mismo tipo de ataque fue detectado en México a finales de 2017, y se ha trasladado ahora a los vecinos norteamericanos.

Aunque el ataque esté focalizado en ATMs Diebold de carga frontal con AFD, todo apunta a que otras marcas y modelos pueden ser atacados en el futuro, especialmente si no cuentan con las medidas de seguridad adecuadas.

 

Malware: Ploutus-D

El malware usado para el ATM Jackpotting es Ploutus-D, la nueva generación de Ploutus, una conocida y sofisticada familia de malware de ATMs descubierta en México en 2013.

La principal novedad de Ploutus-D (para más información puede consultar este blog-post de S21sec) es el hecho de que usa componentes del software multi-fabricante de ATMs Kalignite para acceder a la capa XFS y obtener de esta manera un control completo e ilegítimo de los dispositivos hardware del ATM, tales como el dispensador, la lectora de tarjetas o el pinpad.

Por lo observado hasta la fecha, los ataques con Ploutus-D están dirigidos a  ATMs Diebold, pero el hecho de que haga uso del software multi-fabricante de KAL (que se ejecuta en 40 fabricantes diferentes de cajeros automáticos), permitiría fácilmente al malware dirigirse a otros fabricantes de ATMs en un futuro cercano.

 

Un modus operandi innovador: reemplazo del disco duro

Los ataques ocurridos en EE.UU. revelan un modus operandi extremadamente innovador y sofisticado, que se aprovecha de un gran conocimiento tanto de la pila de software como de la configuración de hardware de los cajeros automáticos objetivo.

Los cibercriminales utilizan la nueva generación del malware de ATM Ploutus-D, pero en lugar de usar un puerto USB o una conexión de red para copiar el malware en el cajero automático, simplemente reemplazan el disco duro con una réplica idéntica que ya está infectada.

El disco duro falso no tendrá autorización para enviar comandos al dispensador del ATM, ya que en este tipo de cajeros automáticos las comunicaciones están cifradas. Para burlar este mecanismo de seguridad, los delincuentes utilizan un endoscopio (un instrumento flexible usado tradicionalmente en medicina para poder ver el interior del cuerpo humano), para manipular el interior del cajero automático y reautorizar la comunicación entre el disco duro falso y el dispensador, de la misma forma que lo haría un técnico cuando, legítimamente, reemplaza un disco duro dañado.

Una vez que el disco duro falso está reautorizado, el malware tiene vía libre para hablar con el dispensador, y permanecerá ejecutándose en segundo plano hasta recibir un comando que le permita activar la retirada de efectivo del ATM.

El ataque de ATM Jackpotting funciona de la siguiente manera:

Preparación:

  • Los cibercriminales roban un disco duro de un cajero automático en producción, el cual contiene la pila completa de software usada por la institución financiera.
  • El disco duro robado se analiza en el laboratorio (con cajeros automáticos reales), y se usa para crear réplicas del disco duro e infectarlas con el malware Ploutus-D.

Infección:

  • El cibercriminal (a menudo haciéndose pasar por un técnico), consigue acceso al interior del cajero automático a través de la ruptura de la carcasa o bien usando llaves duplicadas.
  • El disco duro legítimo se reemplaza por el manipulado, infectado con el malware Ploutus-D.
  • Se usa un endoscopio para manipular el interior del cajero automático y reautorizar la comunicación entre el nuevo disco duro y el dispensador.
  • El malware se ejecutará en segundo plano, esperando un código de activación, y con permisos para hablar con el dispensador.

Cash-Out (retirada del efectivo)

  • Las “mulas” introducen el código de activación para la retirada de efectivo del cajero, a través de un teclado conectado, del pinpad o incluso conectando un teléfono móvil y recibiendo un SMS.
  • Una vez que se realiza la retirada de efectivo, se vuelve a montar el disco duro legítimo.

 

Windows XP vs Windows 7: ambos son vulnerables

Hay fuentes que argumentan que los cajeros automáticos que tienen Windows XP son más vulnerables porque el sistema operativo ya no está soportado y por tanto no existen nuevos parches de seguridad.

Sin embargo, aunque la migración a Windows 7 es una buena práctica recomendada, es importante resaltar que los cajeros automáticos con Windows 7 son tan vulnerables como los que tienen Windows XP.

El motivo es que el malware de ATMs es altamente dirigido, y las técnicas que utiliza no explotan las vulnerabilidades del Sistema operativo, sino más bien las vulnerabilidades de diseño de la pila de software del cajero, como puede ser la falta de autenticación en la capa XFS.

 

Contramedidas de seguridad

Toda organización que opera una red de cajeros automáticos es un objetivo potencial para los ataques de Jackpotting, por lo que la aplicación de unas contramedidas de seguridad robustas y eficientes se convierte en una necesidad básica.

El aspecto más crucial de este ataque es el hecho de que los delincuentes pueden robar el disco duro del ATM y, si éste no se encuentra debidamente protegido, pueden crear copias y manipularlas para infectarlo con el malware.

La primera línea de defensa debe ser impedir que los delincuentes puedan crear copias del disco duro y manipularlas. Para ello, es necesario aplicar las siguientes medidas de protección lógica:

  • Cifrado de Disco/Hard Disk Encryption (para evitar la manipulación “Off-line” del disco duro)

La forma más simple de manipular el disco duro consiste en hacer el arranque desde un sistema externo, montar el disco duro del cajero automático y alterar la estructura de archivos y directorios de forma “off-line”.

El cifrado del disco duro impide al atacante manipular de forma “off-line” los datos del disco duro.

 

  • Lista Blanca/Whitelisting (para evitar la manipulación “On-line” del disco duro)

Si el atacante puede realizar el arranque desde un disco duro robado y accede al sistema operativo, entonces podrá alterar la estructura de archivos y directorios de forma “on-line”.

Una tecnología exhaustiva de lista blanca permitiría limitar y preservar la integridad del software que se puede ejecutar, además de restringir el hardware que pueda ser conectado, impidiendo por tanto al atacante manipular de forma “on-line” los datos del disco duro.

Si estas medidas de seguridad lógica no se han aplicado y el ciberdelincuente ha sido capaz de realizar una copia del disco duro e infectarlo con el malware, entonces las organizaciones deberán aplicar medidas de protección física, como limitar el acceso físico a los cajeros automáticos o implementar mecanismos de protección en el dispensador (con comunicaciones cifradas y autenticaciones robustas); pero este tipo de medidas conllevan un mayor coste para su despliegue.

Adicionalmente, hay que remarcar la importancia de tener continuamente vigilada y monitorizada la red de cajeros automáticos para poder identificar rápidamente actividades sospechosas tales como eventos de software, hardware, desconexiones o reinicios de los cajeros. De la misma forma, es fundamental tener la capacidad de acceder de forma remota a los cajeros para poder reaccionar rápidamente ante potenciales incidentes de seguridad.

 

Sobre S21sec

S21sec desarrolla soluciones adaptadas a las necesidades de la industria bancaria, como su producto Lookwise Device Manager, diseñado para gestionar la seguridad de las redes de ATMs. S21sec también proporciona servicios de ciberseguridad especializados y avanzados para combatir el fraude en organizaciones financieras.

S21sec es miembro y patrocinador de las principales asociaciones de la industria ATM, como ATMIA y ATEFI.

Para más información, póngase por favor en contacto con nosotros.

 

Referencias

https://krebsonsecurity.com/2018/01/first-jackpotting-attacks-hit-u-s-atms/

https://krebsonsecurity.com/wp-content/uploads/2018/01/20180126-GLOBAL-SECURITY-ALERT-018-04-0005-Potential-Jackpotting-US-Update-on-017-34-0002-smaller.pdf

https://www.reuters.com/article/us-usa-cyber-atm/jackpotting-hackers-steal-over-1-million-from-atms-across-u-s-secret-service-idUSKBN1FI2QF

Recent Posts

Leave a Comment