Alerta por "Jackpotting" de cajeros automáticos.


El "Jackpotting" de cajeros automáticos es un delito sofisticado en el que los ladrones instalan software y/o hardware malicioso en cajeros automáticos, el cual obliga a las máquinas a "escupir" grandes volúmenes de dinero en efectivo.



Esta técnica ha sido desde hace tiempo una amenaza para los bancos de Europa y Asia, aunque estos ataques de alguna los operadores de otros países no habían sido afectados. Pero todo esto cambió esta semana después de que el Servicio Secreto de EE.UU. comenzó silenciosamente a advertir a las instituciones financieras [PDF] que han detectado ataques de jackpotting dirigidos a cajeros automáticos en los Estados 

Unidos y en México.




Para llevar a cabo un ataque de jackpot, los ladrones primero deben obtener acceso físico al cajero automático. Desde allí pueden usar malware o productos electrónicos especializados, a menudo una combinación de ambos, para controlar las operaciones del cajero.



El 21 de enero pasado, KrebsOnSecurity comenzó a escuchar rumores sobre los ataques de jackpotting, afectando los operadores de cajeros automáticos estadounidenses. En ese momento NCR dijo que "había recibido informes no confirmados, pero nada sólido todavía". El 26 de enero, NCR envió un aviso a sus clientes diciendo que había recibido informes del Servicio Secreto y otras fuentes acerca de los ataques con jackpots contra cajeros automáticos en los Estados Unidos.



"Si bien en la actualidad parecen estar enfocados en cajeros automáticos no pertenecientes a NCR, estos ataques lógicos son un problema de toda la industria", dice la alerta de NCR. "Esto representa los primeros casos confirmados de pérdidas debidas a ataques lógicos en los EE. UU. Esto debe ser tratado como un llamado a la acción para tomar las medidas adecuadas para proteger sus cajeros automáticos contra estas formas de ataque y mitigar sus consecuencias".

La nota de NCR no menciona el tipo de malware utilizado contra los cajeros automáticos de EE.UU. pero una fuente cercana al asunto dijo que el Servicio Secreto está advirtiendo que las bandas criminales organizadas han estado atacando cajeros automáticos independientes en los Estados Unidos usando "Ploutus.D", una variante avanzada de malware que se vio por primera vez en 2013 y visto en América Latina a principios de 2017.

De acuerdo con esa fuente, el Servicio Secreto ha recibido información de que los ladrones están atacando cajeros automáticos de carga frontal fabricados por el proveedor Diebold Nixdorf. Los ladrones parecen estar dirigiendo sus esfuerzos a la serie Opteva 500 y 700 de Dielbold, utilizando Ploutus. Una alerta de Diebold a los bancos confirma que los ataques hasta ahora parecen estar dirigidos a los cajeros automáticos de Opteva con carga frontal.

Los estafadores se disfrazan de técnicos de ATM y conectan una computadora portátil con una imagen especular del sistema operativo de los cajeros automáticos junto con un dispositivo móvil al cajero automático objetivo.

La alerta del Servicio Secreto explica que los atacantes suelen utilizar un endoscopio, un instrumento delgado y flexible que se usa tradicionalmente en medicina, para localizar la parte interna del cajero automático donde pueden conectar un cable que les permita sincronizar su computadora portátil con la computadora del cajero automático.







Una vez que este paso se completa, el cajero automático será controlado por los delincuentes y el cajero aparecerá fuera de servicio para los clientes. En este punto, instalan el malware que permite que puedan controlar remotamente los cajeros y obligar a las máquinas a dispensar efectivo.



En ataques anteriores de Ploutus.D, el cajero automático daba billetes continuamente a una velocidad de 40 billetes cada 23 segundos. Una vez que se inicia el ciclo de dispensación, la única manera de detenerlo es presionar cancelar en el teclado. De lo contrario, la máquina queda completamente vacía.

Descubierto por primera vez en México en 2013, Ploutus permitió a los delincuentes vaciar los cajeros automáticos utilizando un teclado externo conectado a la máquina o mediante mensajes SMS, una técnica que nunca se había visto antes.

Según FireEye, los ataques de Ploutus vistos hasta ahora requieren que los ladrones obtengan acceso físico a un cajero automático de alguna manera, ya sea quitándole las cerraduras, utilizando una llave maestra robada o eliminando o destruyendo parte de la máquina.

Generalmente estas bandas de criminales despliegan "mulas de dinero" para llevar a cabo los ataques y extraer efectivo de los cajeros automáticos. El término se refiere a los operadores de bajo nivel dentro de una organización criminal a los que se les asignan trabajos de alto riesgo, tales como la instalación de skimmers en cajeros automáticos y la manipulación de cajeros automáticos. Si bien hay algunos riesgos de que la mula sea atrapada por las cámaras, la velocidad con la que se lleva a cabo la operación minimiza el riesgo.

De hecho, el memorando del Servicio Secreto dice que las mulas de efectivo retiran el efectivo dispensado y lo colocan en una bolsa grande. Cuando la mula se va, los técnicos falsos vuelven al sitio y retiran su equipo del cajero automático comprometido.


FireEye dijo que todas las muestras de Ploutus.D que examinaron en cajeros automáticos Diebold permitirían que con pequeños cambios en el código del malware usarlo en contra de 40 vendedores de cajeros automáticos diferentes en 80 países.

La alerta del Servicio Secreto dice que los cajeros automáticos que todavía se ejecutan en Windows XP son particularmente vulnerables, e instó a los operadores de ATM a actualizar a una versión de Windows 7 para vencer este tipo específico de ataque.



_______________________________________________________

Tomado de: http://blog.segu-info.com.ar/2018/01/alerta-por-jackpotting-de-cajeros.html#alerta-por-jackpotting-de-cajeros
Se Respetan Derechos de Autor.