Cajeros automáticos vacíos como por arte de magia o como los hackers se lucen con la banca

No es un misterio ya que Kaspersky Lab lo ha venido estudiando pero si una elaborada estrategia de ataque para los cajeros automáticos de los bancos.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Intactos. Funcionales. Sin rastros de malware pero… completamente vacíos. Así encontraba el personal de las distintas agencias sus cajeros automáticos sin que hubiera explicación.

Por supuesto, los bancos sabían que no era magia pero, frente al fraude requerían respuestas: ¿cómo pasó esto y por qué no nos dimos cuenta?

Afortunadamente, ya tienen sus respuestas. Una que no les gusta: las comunidades de hackers han encontrado una nueva forma (bastante eficiente) de atacarlos.

La buena noticia es que, si no es magia, es combatible y – a veces – hasta derrotable.

Gracias a la información del reporte de Kaspersky Lab pueden desarrollarse las nuevas defensas para encarar este tipo de fraude.

Sin rastro

Según los especialistas de Kaspersky Lab, los criminales utilizaban malware en la memoria de los equipos para infectar las redes bancarias.

Los expertos de la empresa recibieron de manos de los técnicos del banco dos archivos que contenían registros de malware del disco duro del cajero automático (kl.txt y logfile.txt).

No había ningún otro rastro después del ataque: ningún ejecutable porque, después del robo. los cibercriminales habían limpiado el malware.

Sin embargo, con estos datos, los especialistas crearon una regla YARA (cadenas de búsqueda que ayudan a encontrar, agrupar y categorizar muestras del código malicioso y establecer conexiones con base en patrones de actividad) para encontrar una muestra.

Con estos datos, los especialistas lograron identificar el código, aunque – hasta ahora – no han identificado al grupo responsable, aunque se identificó al código malicioso como uno visto activo en dos sitios: Rusia y Kazajistán.

La identificación es lo primero

El malware en cuestión es el llamado “tv.dll” y, luego, renombrado como “ATMitch” y se instala en los cajeros en forma remota desde el banco que está bajo ataque.

ATMitch les permite a los atacantes realizar una lista de comandos, incluyendo la recopilación de información sobre el número de billetes en los cartuchos del cajero automático, e inclusive, la posibilidad de distribuir dinero en cualquier momento con sólo tocar un botón.

“Es posible que los atacantes sigan activos. Pero no hay que entrar en pánico. Combatir este tipo de ataques requiere un conjunto específico de habilidades del especialista de seguridad que protege a la organización que está como objetivo. Para resolver estos problemas, el estudio forense de la memoria se está volviendo crucial para analizar el malware y sus funciones”, explicó el Investigador Principal de Seguridad en Kaspersky Lab, Sergey Golovanov.

Aunque no se ha determinado en forma exacta la procedencia, el “tv.dll”, que se usó en la etapa ATM del ataque contiene un recurso de idioma ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.

Y eso es un comienzo importante a la hora de desarrollar y/o aplicar herramientas que prevengan nuevos ataques.