The IT Mag

Cajeros, nueva preocupación en ataques a los bancos

2 minutos de lectura
Por Abraham Ramírez Aguayo - abril 6, 2017    Seguridad, TI al día, ataques, banco, brechas

Cajeros, la nueva preocupación en ataques a los bancosEn el contexto actual, el sector financiero es uno de los que más ataques cibernéticos está sufriendo. Aunque las instituciones financieras se están blindando con muchas herramientas, ahora existen nuevas amenazas. Una de las más recientes que se han descubierto es a través de los cajeros automáticos.

En un estudio de prensa, Kaspersky describe los resultados de una investigación, hecha este año, sobre ataques misteriosos contra los bancos. En ellos los criminales utilizaban malware para infectar las redes bancarias. Un ejemplo de esto es el caso ATMitch en el que la firma de seguridad explica que investigó los registros del disco duro de un cajero automático, donde encontraron dos archivos.

Dentro de ellos, los trabajadores de Kaspersky Lab identificaron partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y así encontrar una muestra.

Cabe aclarar que las reglas YARA son cadenas de búsqueda que ayudan a los analistas a encontrar, agrupar y categorizar muestras de código malicioso relacionadas, y así establecer conexiones con base en patrones de actividad sospechosa en sistemas o redes que comparten similitudes.

El nombre del crimen

En sus resultados, los expertos encontraron la muestra "tv.dll", o “ATMitch”, como fue nombrada posteriormente.

Se descubrió que éste se instala y ejecuta en un cajero automático. Una vez instalado y conectado, ATMitch se comunica con el equipo como si fuera un software legítimo. El programa permite a los atacantes realizar una lista de comandos, incluyendo la recopilación de datos sobre el número de billetes en los cartuchos de la maquina bancaria. Incluso proporciona la posibilidad de distribuir dinero en cualquier momento con sólo tocar un botón.

Sergey Golovanov, investigador principal de seguridad en Kaspersky Lab, destacó que por lo general, los delincuentes empiezan por obtener información sobre la cantidad de insumos que tiene la máquina.

“Después de eso, un criminal puede enviar una orden para dispensar cualquier número de billetes de alguno de los cartuchos. Luego de esta acción, sólo es necesario tomar el dinero. Un robo como éste toma unos segundos. Una vez que se roba un cajero automático, el mismo software malicioso elimina su rastro”.

Kaspersky explicó que el uso de código abierto para estos ataques, herramientas comunes de Windows y dominios desconocidos durante la primera etapa de la operación, hacen que sea casi imposible determinar al grupo responsable. Sin embargo, se detectaron componentes rusos y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.

Al final, Golovanov indicó que combatir este tipo de ataques requiere un conjunto específico de habilidades del especialista de seguridad que protege a la organización. "Es posible que los atacantes sigan activos. Pero no hay que entrar en pánico. El estudio forense de la memoria se está volviendo crucial para analizar el malware y sus funciones. Como lo prueba este caso, una respuesta al incidente cuidadosamente dirigida puede ayudar a resolver, incluso el cibercrimen preparado perfectamente”.

¿Tienes un proyecto? ¡Visita nuestra sección