Descubierta una misteriosa forma de robar dinero de cajeros automáticos

Kaspersky Lab analiza el malware ATMitch

Publicado el 07 Abr 2017

40801_63

Los empleados de un banco descubrieron el cajero automático vacío: no había dinero, ni rastros de interacción física con la máquina, ni malware. Los expertos de Kaspersky Lab han pasado mucho tiempo analizando este caso para poder no sólo entender las herramientas utilizadas en el robo, sino también reproducir el ataque descubriendo la violación de la seguridad del banco.

En febrero de 2017, Kaspersky Lab publicó los resultados de una investigación sobre los misteriosos ataques contra bancos sin archivos: los cibercriminales utilizaban malware en la memoria (in memory) para infectar las redes bancarias. Pero, ¿por qué estaban haciendo esto? El caso ATMitch ha sacado a la luz toda la información.

La investigación comenzó cuando los especialistas forenses del banco recuperaron y compartieron con Kaspersky Lab dos archivos que contenían registros de malware en el disco duro del ATM (kl.txt y logfile.txt). Eran los únicos archivos que quedaban después del ataque: no era posible recuperar los ejecutables maliciosos porque tras el robo los cibercriminales habían limpiado el malware. Pero incluso esta pequeña cantidad de datos fue suficiente para que Kaspersky Lab llevara a cabo una investigación exitosa.

Borrar/Rebobinar

Dentro de los archivos de registro, los expertos de Kaspersky Lab fueron capaces de identificar partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y encontrar una muestra. Las reglas YARA, básicamente cadenas de búsqueda, ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas basándose en patrones de actividad sospechosa en sistemas o redes que comparten similitudes. Tras un día de espera, los expertos encontraron una muestra de malware, que ya se había visto otras dos veces más: una vez de Kazajstán y otra en Rusia.

Este malware se instala y ejecuta remotamente en un cajero automático desde el banco de destino. Una vez instalado y conectado al ATM, el malware ATMitch se comunica como si fuera un software legítimo. Permite a los atacantes llevar a cabo una lista de comandos, como recopilar información sobre el número de billetes en los casetes del cajero y proporciona a los cibercriminales la capacidad de distribuir dinero en cualquier momento, con sólo tocar un botón.

Por lo general, los cibercriminales empiezan por obtener información sobre la cantidad de dinero que tiene el cajero. Después de eso, envían una orden para dispensar un número de billetes concretos. Después de retirar el dinero de esta curiosa manera, los criminales sólo tienen que huir. Una vez robado el ATM, el malware elimina sus trazas.

¿Quién está ahí?

Todavía no se sabe quién está detrás de los ataques. El uso de código de explotación abierto, utilidades comunes de Windows y dominios desconocidos durante la primera etapa de la operación hace que sea casi imposible determinar el grupo responsable. Sin embargo, usado en la etapa ATM del ataque contiene un recurso en ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.

Los ciberatacantes pueden estar activos. Para combatir este tipo de ataques es necesario que el responsable en seguridad TI reúna un conjunto específico de habilidades para proteger a la organización objetivo. El éxito de la violación y extracción de datos de una red sólo puede llevarse a cabo con herramientas comunes y legítimas. Después del ataque, los ciberdelincuentes pueden borrar todos los datos que podrían conducir a su detección sin dejar huellas. Para abordar estas cuestiones, la memoria forense se está convirtiendo en crítica para el análisis de malware y sus funciones. Y como prueba este caso, una respuesta cuidadosamente dirigida puede ayudar a resolver incluso el cibercrimen perfectamente preparado", afirma Sergey Golovanov, analista principal de Seguridad en Kaspersky Lab.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados

Artículo 1 de 4