Ataques remotos a cajeros automáticos son la nueva forma de operar contra los bancos |
Escrito por Redacción OyN |
Jueves, 13 de Abril de 2017 00:00 |
En febrero de 2017, Kaspersky Lab publicó los resultados de una investigación sobre ataques misteriosos sin archivos contra los bancos: los criminales utilizaban malware en la memoria para infectar las redes bancarias. Pero, ¿por qué estaban haciendo esto? El caso ATMitch nos ha brindado una visión completa del caso. La investigación comenzó después de que los especialistas forenses del banco recuperaron y le dieron a conocer a Kaspersky Lab dos archivos que contenían registros de malware del disco duro del cajero automático (kl.txt y logfile.txt). Estos eran los únicos archivos que estaban en la máquina después del ataque: no fue posible recuperar los ejecutables maliciosos porque después del robo los cibercriminales habían limpiado el malware. Pero incluso, esta pequeña cantidad de datos fue suficiente para que Kaspersky Lab llevara a cabo una investigación exitosa. Borrar/rebobinar Dentro de los archivos de registro, los expertos de Kaspersky Lab identificaron partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y a encontrar una muestra. Las reglas YARA son básicamente cadenas de búsqueda que ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas con base en patrones de actividad sospechosa en sistemas o redes que comparten similitudes. Después de un día de espera, los expertos encontraron la deseada muestra de malware, "tv.dll", o “ATMitch” como fue nombrada posteriormente. Fue visto de manera activa dos veces: una vez desde Kazajistán y otra desde Rusia. Este malware se instala y se ejecuta en un cajero automático desde el banco que es usado como blanco de manera remota. Una vez instalado y conectado, el malware ATMitch se comunica con el cajero automático como si fuera un software legítimo. El malware les permite a los atacantes realizar una lista de comandos, incluyendo la recopilación de información sobre el número de billetes en los cartuchos del cajero automático. Es más, proporciona a los criminales la posibilidad de distribuir dinero en cualquier momento con sólo tocar un botón. Por lo general, los criminales empiezan por obtener información sobre la cantidad de dinero que tiene la máquina. Después de eso, un criminal puede enviar una orden para dispensar cualquier número de billetes de alguno de los cartuchos. Después de retirar el dinero de esta peculiar manera, los criminales sólo toman el dinero y se van. Un robo como éste toma tan solo unos segundos. Una vez que se roba un cajero automático, el malware elimina su rastro. ¿Quién está detrás? Aun no se sabe quién está detrás de estos ataques. El uso de código abierto para estos ataques, herramientas comunes de Windows y dominios desconocidos durante la primera etapa de la operación, hacen que sea casi imposible determinar al grupo responsable. Sin embargo, el "tv.dll", que se usó en la etapa ATM del ataque contiene un recurso de idioma ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak. "Es posible que los atacantes sigan activos. Pero no hay que entrar en pánico. Combatir este tipo de ataques requiere un conjunto específico de habilidades del especialista de seguridad que protege a la organización que esta como objetivo. El éxito de la violación y ex-filtración de datos de una red sólo puede lograrse con herramientas comunes y legítimas; después del ataque, los delincuentes pueden borrar todos los datos que podrían llevar a su detección y no dejar huellas, y nada en lo absoluto. Para resolver estos problemas, el estudio forense de la memoria se está volviendo crucial para analizar el malware y sus funciones. Y como lo prueba nuestro caso, una respuesta al incidente cuidadosamente dirigida puede ayudar a resolver, incluso el cibercrimen preparado perfectamente", dijo Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab. Los productos de Kaspersky Lab detectan con éxito las operaciones que utilizan las tácticas, técnicas y procedimientos anteriormente mencionados. Información adicional sobre este tema y las reglas Yara para el análisis forense de los ataques sin archivos está disponible en el blog de Securelist.com. También se proporcionaron detalles técnicos, incluyendo los indicadores de fallos, a los clientes de Kaspersky Intelligence Services. |
Solve for Tomorrow Latam fortalece red de docentes de América LatinaSamsung anuncia el lanzamiento de su plataforma digital Solve for Tomorrow Latam, un espacio para reconocer y dar valor a los docentes. |
Hoy se estrena el documental "Madre Carmen"El documental Madre Carmen de Venezuela, una caraqueña común y extraordinaria, llega a la pantalla de Venevisión, |
Banesco extiende el plazo de postulación al Presupuesto ParticipativoBanesco extiende los plazos de postulación para su Presupuesto Participativo 2024 en el Área Metropolitana de Caracas |
“The Wailers" llegan a CaracasLa emblemática banda jamaiquina se presentará en vivo y con todos sus éxitos el próximo 10 de mayo. |
Farmatodo y Acción Solidaria se alían para Fortalecer el Banco de MedicamentosFarmatodo, ha formalizado la alianza estratégica con Acción Solidaria, reconocida organización dedicada al apoyo a personas en situación de vulnerabilidad, con el objetivo de fortalecer su Banco de Me... |
Partidos y democratizaciónPosibilidad de transformación del sistema político, alternabilidad, transferencia pacífica de mando, garantía de gobernabilidad a largo plazo… |
Contienda atípicaLa presente contienda electoral es toda una ironía. |
La filosofía: La base de todoEn pocas épocas de la historia la filosofía había sido tan importante y determinante como en la actualidad. |
De la presidenciable Corina YorisLa conocimos telefónicamente, algunos años atrás, cuando tratamos de la posibilidad de un proyecto de ley de creación de la Academia Nacional de Filosofía, |
No a la rendiciónPara los muchos que tenemos la esperanza de un país distinto, que renazca de los escombros, y se encamine hacia un futuro digno; |
Siganos en