Kit de herramientas amplía significativamente el alcance de posibles ataques a ATMs
Investigadores de Kaspersky Lab han descubierto un malware cuyo objetivo son a los cajeros automáticos (ATM, por sus siglas en inglés), y que se vendía abiertamente en el mercado de la DarkNet. Cutlet Maker consta de tres componentes y permite vaciar el dinero de un cajero automático, si el atacante obtiene acceso físico a la máquina. Un juego de herramientas que potencialmente permite a los delincuentes robar millones, estaba a la venta por solo $5,000 dólares y venía equipado con una guía pasó a paso para el usuario.
Los cajeros automáticos siguen siendo objetivos lucrativos para los estafadores, que utilizan diversos métodos para obtener el máximo beneficio. Mientras que algunos confían en técnicas físicamente destructivas mediante el uso de herramientas de corte de metales, otros eligen la infección con malware, lo que les permite manipular los expendedores de dinero de la máquina desde adentro. Aunque las herramientas maliciosas para hackear los cajeros automáticos se conocen desde hace muchos años, el último descubrimiento muestra que los creadores de malware invierten cada vez más recursos en hacer que sus «productos» estén disponibles para criminales que no están muy familiarizados con la informática.
A principios de este año, un socio de Kaspersky Lab le proporcionó a uno de nuestros investigadores una muestra maliciosa anteriormente desconocida, que se presume fue hecha para infectar PCs dentro de los cajeros automáticos. Los investigadores sintieron curiosidad por ver si este malware o algo relacionado se podía comprar en foros subterráneos. Luego buscaron y encontraron artefactos que son únicos del malware: una oferta publicitaria que describía una variedad de malware para cajeros automáticos en AlphaBay, un popular sitio de la DarkNet, coincidió con la consulta y reveló que la muestra inicial pertenecía a un kit completo de código malicioso comercial creado para saquear cajeros automáticos. Una información publicada por el vendedor del malware y encontrada por los investigadores contenía no solo la descripción del software e instrucciones sobre cómo obtenerlo, sino que también proporcionaba una guía paso a paso sobre cómo usar el kit en ataques, con instrucciones y tutoriales en video.
Según la investigación, el conjunto de herramientas de malware consta de tres elementos:
- El software Cutlet Maker, que sirve como el módulo principal responsable de la comunicación con el expendedor del cajero automático.
- El programa c0decalc, diseñado para generar una contraseña que pone en marcha la aplicación Cutlet Maker y la protege del uso no autorizado.
- Una aplicación estimuladora, que ahorra tiempo a los delincuentes al identificar el estado actual de las gavetas de dinero en efectivo disponible en el cajero automático. Al instalar esta aplicación, un intruso recibe información exacta sobre la moneda, el valor y el número de billetes en cada gaveta, por lo que puede elegir el que contenga la cantidad más grande, en lugar de retirar a ciegas el efectivo gaveta por gaveta.
Para comenzar el robo, los delincuentes necesitan obtener acceso directo a los cajeros automáticos para acceder al puerto USB, que se utiliza para cargar el malware. Si tienen éxito, conectan un dispositivo USB que almacena el juego de herramientas del software. Como primer paso, los delincuentes instalan Cutlet Maker. Como está protegido por contraseña, utilizan un programa c0decalc, instalado en otro dispositivo, como una computadora portátil o una tableta (este es un tipo de protección de «derechos de autor» instalada por los autores de Cutlet Maker para evitar que otros delincuentes lo usen de forma gratuita). Después de que se genera el código, los delincuentes lo ingresan en la interfaz de Cutler Maker para comenzar el proceso de extracción de dinero.
Cutlet Maker estuvo a la venta desde el 27 de marzo de 2017; sin embargo, como descubrieron los investigadores, la primera muestra conocida apareció en los radares de la comunidad de seguridad en junio de 2016. En ese momento, se envió a un servicio público de varios escáneres desde Ucrania, pero más tarde también se envió desde otros países. No está claro si el malware se usó en ataques reales, sin embargo, las pautas que venían con el kit de malware contenían videos que fueron presentados por sus autores como prueba real de la eficacia del software malicioso.
Se desconoce quién está detrás de este malware. Respecto a los posibles vendedores del juego de herramientas, el lenguaje, la gramática y los errores estilísticos apuntan a que se trata de personas cuyo idioma nativo no es el inglés.
«Cutlet Maker no requiere que el delincuente tenga conocimiento avanzado o habilidades informáticas profesionales, transformando así el hackeo de cajeros automáticos de una avanzada operación cibernética ofensiva, en otra manera ilegal más de ganar dinero que está disponible para prácticamente cualquier persona que tenga varios miles de dólares para comprar el malware. Esto puede convertirse en una amenaza peligrosa para las organizaciones financieras. Pero lo más importante es que, mientras está en funcionamiento, Cutlet Maker interactúa con el software y el hardware de los cajeros automáticos, sin encontrar prácticamente ningún obstáculo de seguridad. Esto debe cambiar para lograr fortalecer los cajeros automáticos», dice Konstantin Zykov, investigador de seguridad en Kaspersky Lab.
Para proteger a los cajeros automáticos contra ataques que utilizan herramientas maliciosas como Cutlet Maker y además de proporcionar seguridad física confiable a los cajeros automáticos, los especialistas de Kaspersky Lab aconsejan a los equipos de seguridad de las organizaciones financieras hacer lo siguiente:
- Implementar políticas estrictas para denegación predeterminada que impidan la ejecución de cualquier software no autorizado en el cajero automático.
- Habilitar los mecanismos de control del dispositivo para restringir la conexión de cualquier dispositivo no autorizado al cajero automático.
- Utilizar una solución de seguridad especial para proteger sus cajeros automáticos de los ataques de los creadores del malware Cutlet Maker.
Para una mejor protección contra cajeros automáticos, Kaspersky Lab también recomienda utilizar una solución de seguridad adecuada, como Kaspersky Embedded Systems Security.
Los productos de Kaspersky Lab detectan y bloquean con éxito el malware Cutlet Maker.
Para leer más sobre cómo funciona Cutlet Maker, lea la reciente publicación en Securelist.com.
Este análisis forma parte de la investigación continúa de Kaspersky Lab acerca de malware financiero dirigido a cajeros automáticos. Se puede obtener más información sobre la evolución de los ataques a los cajeros automáticos en el informe de Kaspersky Lab sobre escenarios de futuros ataques contra los sistemas de autenticación de los cajeros automáticos.