El malware de jackpotting no es muy conocido porque se dirige exclusivamente a los cajeros automáticos. Esto significa que, por lo general, no afecta directamente a un gran número de personas. Sin embargo, este tipo de malware puede dañar gravemente la reputación y la estabilidad financiera de los bancos propietarios de los cajeros automáticos pirateados. Por ejemplo, entre febrero y noviembre de 2017, se llevaron a cabo al menos 10 ataques de jackpot en el estado alemán de Renania del Norte-Westfalia. Como resultado de esos ataques, los piratas informáticos robaron 1,4 millones de euros. En este artículo, examinaremos dos de los tipos más conocidos de malware de jackpotting, Ploutus y Cutlet Maker. También analizaremos el funcionamiento del malware de jackpotting y brindaremos recomendaciones sobre cómo los bancos pueden protegerse contra él.
¿Qué es jackpotting?
El jackpotting es uno de los métodos destacados utilizados por los ciberdelincuentes para invadir y robar en cajeros automáticos. Los delincuentes utilizan la vulnerabilidad de hardware y software de un cajero automático para salirse con la suya. Adjuntar el software malicioso junto con el hardware a los cajeros automáticos permite el jackpot, lo que obliga al cajero automático a distribuir el dinero.
Usar los objetivos más débiles y el engaño limitará las posibilidades de que los delincuentes queden atrapados en el proceso. Los delincuentes pueden disfrazarse como personal para evitar la inspección y entrar en los cajeros automáticos. Los cajeros automáticos en el servicio y los puntos de venta, junto con los cajeros automáticos independientes que están lejos de la monitorización y la vigilancia, son objetivos más sensibles del jackpotting. Los ciberdelincuentes a menudo se dirigen a máquinas más antiguas que no se actualizan con frecuencia.
El jackpotting, también conocido como «ataques lógicos«, simplemente significa que los ladrones cibernéticos instalan físicamente malware en los cajeros automáticos, lo que les da control sobre la cantidad de dinero que se distribuye en un momento dado.
Los instaladores de malware han sido inteligentes y han utilizado endoscopios (dispositivos médicos estrechos en forma de tubo con cámaras en los extremos que normalmente se utilizan para ver el interior del cuerpo humano) para mirar dentro de cada cajero automático. Una vez que encuentran un lugar para conectar un cable de computadora, sincronizan sus computadoras portátiles con la computadora de la máquina.
¿Quiénes se han visto afectados por esta técnica?
El jackpotting en cajeros automáticos ha sido durante mucho tiempo una amenaza para los bancos en Europa y Asia, pero estos ataques de alguna manera han eludido a los operadores de cajeros automáticos de EE.UU., ahora se han detectado ataques de jackpotting contra cajeros automáticos en Estados Unidos.
El Servicio Secreto advierte que los ladrones parecen estar apuntando a los cajeros automáticos Dielbold de las series Opteva 500 y 700 utilizando el malware Ploutus.D en una serie de ataques coordinados, y que hay evidencia de que se están planeando más ataques. a través del país.
El primer ataque de jackpotting en cajeros automáticos fue en 2013 en México . El malware, llamado Ploutus, fue identificado como una de las familias de malware para cajeros automáticos más avanzadas en los últimos años.
Una de las razones por las que los ataques tardaron más en extenderse a Estados Unidos es porque puede haber sido más fácil salirse con la suya robando cajeros automáticos y sobornando a personas en América Latina que en Estados Unidos.
Este tipo particular de ciberdelito se ha observado durante años en Europa y en Asia. Pero resulta que uno de los primeros casos de jackpotting en cajeros automáticos no fue en realidad un delito. El famoso pirata informático de «sombrero blanco» Barnaby Jack, quien falleció en 2013, demostró cómo se pueden explotar las vulnerabilidades de los cajeros automáticos en un esfuerzo por crear conciencia sobre el jackpot.
Los ciberdelincuentes han llevado a cabo algunos ataques asombrosos. En julio de 2016, presuntos ciudadanos rusos retiraron un total de 2,2 millones de dólares de docenas de cajeros automáticos en Taiwán pertenecientes a First Bank. Unas semanas más tarde, en Tailandia, tres grupos de hombres que trabajaban en seis provincias ordenaron a 21 cajeros automáticos que devolvieran un total de 12 millones de baht (350.000 dólares).
¿Qué métodos o malware usan los atacantes?
El primer paso hacia la operación exitosa del malware de jackpotting es obtener acceso físico al cajero automático objetivo. Para hacerlo, los estafadores suelen vestirse como técnicos de cajeros automáticos para evitar llamar la atención. En algunos casos, los delincuentes también utilizan un endoscopio, un instrumento que permite a los médicos mirar dentro del cuerpo humano para encontrar puertos de computadora dentro del cajero automático objetivo.
El segundo paso es la activación del malware de jackpotting. Esto generalmente se hace usando el teclado del cajero automático pirateado o enviándole comandos SMS. El último método es mucho más conveniente porque funciona casi instantáneamente y brinda a los delincuentes la oportunidad de realizar sus operaciones maliciosas sin la necesidad de exponerse públicamente.
El tercer paso se relaciona con sacar el dinero robado del cajero automático pirateado. Esto generalmente lo hacen mulas de dinero, individuos que realizan operaciones de alto riesgo siguiendo las instrucciones de los delincuentes. Muchas mulas de dinero pueden ser personas jóvenes que generalmente no son muy conscientes de las consecuencias de sus acciones. Por ejemplo, un informe de la policía del Reino Unido indica que el 36% de las mulas de dinero que participan en el blanqueo de dinero eran personas menores de 21 años.
Las mulas de dinero se pueden dividir en tres categorías: mulas ignorantes, mulas ingeniosas y mulas cómplices. Las mulas ignorantes no saben en absoluto que están involucradas en actividades delictivas. Las ingeniosas han notado señales (por ejemplo, mensajes de advertencia de los bancos) que indican que están involucradas en actividades delictivas, pero han decidido seguir adelante. Las mulas cómplices son muy conscientes de su participación en esquemas criminales.
Veamos los principales tipos de malware usados para el jackpotting en cajeros.
Ploutus
Ploutus se descubrió por primera vez en México en 2013. La primera versión de Ploutus tuvo que instalarse en un cajero automático insertando un CD en el CD-ROM del cajero automático. La versión de 2014, llamada Backdoor.Ploutus.B, se basó en la distribución a través de un teléfono móvil. Esta distribución también se conoce como anclaje a red USB.
En 2016, los creadores de Ploutus lanzaron una nueva versión llamada Ploutus-D. Ploutus-D se puede instalar obteniendo acceso físico a la parte superior del respectivo cajero automático. Ploutus-D existe en varias modificaciones que le permiten ejecutarse en máquinas de 41 proveedores de cajeros automáticos diferentes en 80 países. Se calificó a Ploutus-D como «una de las familias de malware para cajeros automáticos más avanzadas que hemos visto en los últimos años.
Las características de Ploutus-D son:
- Utiliza la plataforma de cajeros automáticos de varios proveedores de Kalignite.
- Podría funcionar en cajeros automáticos con los sistemas operativos Windows 10, Windows 8, Windows 7 y XP.
- Está configurado para controlar cajeros automáticos Diebold.
- Tiene una interfaz gráfica de usuario diferente.
- Viene con un lanzador que intenta identificar y eliminar los procesos de monitorización de seguridad para evitar la detección.
- Utiliza un ofuscador .NET más potente llamado Reactor.
- Ploutus-D puede ejecutarse como una aplicación independiente o como un servicio de Windows iniciado por un lanzador.
Cutlet Maker
Cutlet Maker se vendió originalmente en Internet, pero luego estuvo disponible gratuitamente. Infecta cajeros automáticos a través de una memoria USB. El dispositivo y un teclado externo deben estar conectados a un cajero automático para que se infecte.
El malware no es complejo. Una característica específica de Cutlet Maker es que, después de ser instalado en un cajero automático, aparecerá el siguiente mensaje en la pantalla de la máquina pirateada: “¡Ho-ho-ho! ¡Hagamos unas chuletas hoy! » El mensaje incluye una caricatura de un chef y un trozo de carne.
¿Por qué el jackpotting es tan peligroso?
El jackpot es la forma más sofisticada de cajero automático lógico. Este enfoque implica infectar un cajero automático con software malicioso. Cualquier forma temprana de este tipo de ataque involucró la transferencia de malware al cajero automático en un USB a través de un portal de interfaz. Desde entonces, los modos de infiltración se han vuelto más efectivos y requieren incluso menos participación del pirata informático.
El robo que se produce en el propio cajero automático es cada vez más rentable y sofisticado. El «skimming» de cajeros automáticos, ahora le cuesta a la economía global más de $ 2 mil millones. Skimming es el acto de sincronizar los datos del cliente en el cajero automático utilizando hardware que imita la apariencia de los componentes legítimos de la máquina. La tecnología necesaria está fácilmente disponible en línea para su compra.
Los ataques estadounidenses han sido contra un puñado de cajeros automáticos de modelos más antiguos del proveedor de cajeros automáticos Diebold Nixdorf. Con cambios mínimos, los objetivos podrían ampliarse para funcionar «en 40 proveedores de cajeros automáticos diferentes en 80 países». con el potencial de pérdidas financieras extremadamente altas.
Protección contra el malware de jackpotting
Los bancos que deseen proteger sus cajeros automáticos contra el malware de jackpotting deben tomar al menos las siguientes medidas:
- Instalación y mantenimiento de software anti-malware actualizado
- Bloquear los sistemas de cajeros automáticos para evitar la carga de programas no autorizados
- Deshabilitar las funciones de inicio y ejecución automática
- Asegurarse de que los cajeros automáticos no incluyan contraseñas predeterminadas. Las contraseñas predeterminadas se pueden encontrar en los manuales de instrucciones que generalmente están disponibles al público
- Mejorar la seguridad física de los cajeros automáticos, por ejemplo, instalando cámaras de seguridad junto a los cajeros automáticos y contratando oficiales de seguridad para monitorear esas cámaras.
WinPot, una herramienta inspirada en el jackpotting
Una nueva pieza de malware diseñada específicamente para piratear cajeros automáticos. Llamado WinPot, literalmente convierte el cajero automático en una máquina tragamonedas. Sin embargo, una máquina tragamonedas implica que existe la posibilidad de ganar. WinPot permite al «jugador» ganar siempre y recibir efectivo ilegalmente de la máquina. Para instalar este tipo de malware, el pirata informático necesita acceso a la red o poder acceder físicamente a la máquina.
WinPot, que fue descubierto por Kaspersky en marzo de 2018, ha pasado por una variedad de versiones hasta la fecha. Si bien es una cepa de malware separada por derecho propio, los investigadores notaron que WinPot ciertamente está inspirado en otra cepa similar llamada Cutlet Maker. Cutlet Maker, descubierto en 2016, también mostraba información detallada sobre el contenido de los cajeros automáticos de sus víctimas, aunque en lugar del motivo de la ranura, utilizó una imagen de un chef estereotipado que guiña un ojo y hace un gesto con la mano para decir «OK».
Los ladrones infectan los cajeros automáticos a través del acceso físico, es decir, mediante el uso de unidades USB para instalar malware en la máquina. El puerto USB está ubicado en la parte posterior del cajero automático, al que los delincuentes acceden abriendo una brida en la parte frontal que deja al descubierto un agujero.
Una vez que se instala el malware, los ciberdelincuentes pueden obligar al cajero automático a dispensar efectivo a pedido a través de una interfaz de software que aparece en la pantalla del cajero automático. Con ello se consigue hackear al cajero automático. El efecto es un poco como ganar el premio mayor en una máquina tragamonedas.
Desde que apareció en los mercados clandestinos, han aparecido nuevas muestras de WinPot, con modificaciones menores, como un período de tiempo actualizado durante el cual el malware está programado para funcionar.
Otras modificaciones observadas con el tiempo incluyen la adición de protectores para hacer que cada nueva muestra sea única, con el fin de engañar al cajero automático; cambios para superar las limitaciones de los cajeros automáticos, como un límite en el número máximo de billetes permitido por dispensación; protecciones contra mulas de dinero que abusan del malware; y actualizaciones para mejorar la interfaz y las rutinas de manejo de errores.
Por lo tanto, es probable que WinPot continúe actualizándose y prosperando.