Hackers han aprendido nuevos métodos para robar tu dinero de cajeros automáticos

Ha trascurrido una década desde que el hacker Barnaby Jack hizo que un cajero automático arrojara dinero en efectivo frente a muchos espectadores. La acción la realizó durante la conferencia de seguridad Black Hat de 2010 en Las Vegas.

Desde entonces el jackpotting se ha convertido en un pasatiempo criminal popular, con atracos que generan decenas de millones de dólares en todo el mundo. Y con el tiempo, los atacantes se han vuelto cada vez más sofisticados en sus métodos.

En las recientes conferencias de seguridad de Black Hat y Defcon, los investigadores analizaron las evoluciones recientes en el hacking de cajeros automáticos. Los delincuentes han ajustado cada vez más su malware para manipular incluso el software bancario exclusivo de nicho para retirar dinero de los cajeros automáticos. Al mismo tiempo han incorporado lo mejor de los clásicos, incluido el descubrimiento de nuevos ataques remotos para atacar cajeros automáticos específicos.

Durante el Black Hat, Kevin Perlow, el equipo de inteligencia de amenazas técnicas líder en una gran institución financiera privada realizó unos análisis. Analizó dos tácticas de retiro de efectivo que representan diferentes enfoques actuales para el jackpotting. 

INJX_Pure

Analizó el malware para cajeros automáticos conocido como INJX_Pure, que se vio por primera vez en la primavera de 2019. INJX_Pure manipula la interfaz eXtensions for Financial Services (XFS), que admite funciones básicas en un cajero automático, como ejecutar y coordinar el teclado PIN. También el lector de tarjetas y el efectivo dispensador — y el software propietario de un banco juntos para causar jackpot.

Las muestras de malware originales se subieron desde México y luego desde Colombia, pero se sabe poco sobre los actores que utilizan INJX_Pure. 

Sin embargo, el malware es significativo porque está adaptado a los cajeros automáticos de un banco específico, probablemente en una región específica.  Por lo tanto, puede valer la pena desarrollar malware de uso limitado o de jackpotting dirigido. Esto en lugar de centrarse solo en herramientas que funcionen en todo el mundo.

“Es común que los actores de amenazas en general usen XFS dentro de su malware para cajeros automáticos. Esto para lograr que un cajero automático haga cosas que se supone que no debe hacer. Empero, la implementación del desarrollador de INJX_Pure fue única y muy específica para objetivos particulares”, dice Perlow.

En julio, el fabricante de cajeros automáticos Diebold Nixdorf emitió una alerta similar sobre un tipo diferente de malware. En la alertan afirmaban que un atacante en Europa estaba haciendo jackpotting a cajeros automáticos al apuntar a su software propietario.

FASTCash

Perlow también analizó el malware FASTCash, utilizado en campañas de jackpot atribuidas a los hackers de Corea del Norte en octubre de 2018. Corea del Norte ha utilizado el malware para obtener decenas de millones de dólares en todo el mundo. Lo ha logrado con grupos coordinados de mulas de dinero que recolectan y lavaban el mismo.

FASTCash no se dirige a los cajeros automáticos en sí, sino a un estándar de transacciones de tarjetas financieras conocido como ISO-8583. El malware infecta el software que se ejecuta en lo que se conoce como “conmutadores de pago”. Estos son dispositivos de infraestructura financiera que ejecutan sistemas responsables de rastrear y conciliar información de los cajeros automáticos y las respuestas de los bancos. Al infectar uno de estos conmutadores en lugar de atacar un cajero automático individual, los ataques FASTCash pueden coordinar los retiros de efectivo de docenas de cajeros automáticos a la vez.

“Si puedes hacer esto, entonces ya no tendrá que colocar malware en 500 cajeros automáticos”, dice Perlow. “Esa es la ventaja, por qué es tan inteligente”.

Los ataques van aún más lejos en un entorno de laboratorio controlado. Los investigadores de la empresa de seguridad de dispositivos integrados Red Balloon Security detallaron dos vulnerabilidades específicas en los llamados cajeros automáticos minoristas. Específicamente en los cajeros fabricados por Nautilus Hyosung. 

Estos son el tipo de cajeros automáticos que encontrarás en un bar o en una tienda de la esquina. Su contraparte son los cajeros automáticos “financieros” que se usan en los bancos. Las vulnerabilidades podrían haber sido explotadas por un atacante en la misma red que un cajero automático víctima. Al explotarla podría tomar el control del dispositivo y distribuir efectivo sin ninguna interacción física.

Corrección de la vulnerabilidad

Hyosung, que tiene más de 140,000 cajeros automáticos instalados en los Estados Unidos, corrigió las vulnerabilidades a principios de septiembre. Pero como ocurre con muchos dispositivos, puede haber una gran brecha entre ofrecer una solución y lograr que los operadores de cajeros automáticos la instalen. Los investigadores de Red Balloon estimaron que hasta 80,000 cajeros automáticos en Estados Unidos siguen siendo vulnerables.

“En las vulnerabilidades específicas que señalamos, Hyosung hizo un gran trabajo al ofrecer soluciones proactivas para ellas”, dice Ang Cui, CEO de Red Balloon. “Pero realmente depende de cada operador de los cajeros automáticos vulnerables el parchear realmente. No me sorprendería que el mundo entero no haya utilizado ese parche todavía”.

Las dos vulnerabilidades estaban en los sistemas digitales utilizados para administrar los servicios de un cajero automático. En el primero, los investigadores encontraron que la implementación de XFS tenía una vulnerabilidad que podía explotarse con un paquete especialmente diseñado para aceptar comandos. por ejemplo, decirle al cajero automático que distribuya efectivo. La otra vulnerabilidad en el sistema de gestión remota de los cajeros automáticos también llevó a la ejecución de código arbitrario. Esto significa un control total.

“El atacante tomaría el control y podría hacer cualquier cosa, cambiar la configuración, pero lo más impactante es que puede hacer jackpotting con el dinero”. Estas fueron las declaraciones de Brenda So, científica investigadora de Red Balloon que presentó el trabajo en Defcon junto con su colega Trey Keown.

Mitigacion del problema

Nautilus Hyosung enfatizó que los investigadores de Red Balloon revelaron sus hallazgos en el verano de 2019. La compañía lanzó actualizaciones de firmware “para mitigar las posibles amenazas” el 4 de septiembre”.

Hyosung notificó a todos nuestros clientes comerciales que debían actualizar inmediatamente sus cajeros automáticos con estos parches. Hasta el momento no hemos tenido casos de exposición “, dijo la compañía en un comunicado.

En el jackpotting delictivo real, los hackers a menudo pueden simplemente usar ataques físicos o explotar las interfaces digitales de un cajero automático. Pueden lograr su objetivo insertando una memoria USB maliciosa o una memoria SD en un puerto no seguro. Pero los ataques remotos como los que mostró Red Balloon también son cada vez más comunes e ingeniosos.

Es importante recordar que todo software tiene vulnerabilidades, y ninguna computadora es perfectamente segura. No obstante, la ubicuidad del jackpotting y la relativa facilidad para encontrar vulnerabilidades en el sistema financiero global para lograrlo todavía parece indicar una falta de innovación en la defensa de los cajeros automáticos.

“¿Qué ha cambiado fundamentalmente entre la presentación de Barnaby Jack y ahora?” Dice Cui de Red Balloon. “Los mismos tipos de ataques que hubieran funcionado contra las laptops y los sistemas operativos hace 15 años en gran parte no funcionarían ahora. Hemos subido de nivel. Entonces, ¿por qué es que la máquina que contiene el dinero no ha evolucionado? Eso es increíble para mí”