Ataques remotos a cajeros, nuevo embate a bancos
En febrero de 2017, Kaspersky Lab publicó los resultados de una investigación sobre ataques misteriosos sin archivos contra los bancos: los criminales utilizaban malware en la memoria para infectar las redes bancarias. Pero, ¿por qué estaban haciendo esto? El caso ATMitch brinda una visión completa del caso.
La investigación comenzó después de que los especialistas forenses del banco recuperaron y le dieron a conocer a Kaspersky Lab dos archivos que contenían registros de malware del disco duro del cajero automático (kl.txt y logfile.txt). Estos eran los únicos archivos que estaban en la máquina después del ataque: no fue posible recuperar los ejecutables maliciosos porque después del robo los cibercriminales habían limpiado el malware. Pero incluso, esta pequeña cantidad de datos fue suficiente para llevar a cabo una investigación exitosa.
Borrar/rebobinar
Dentro de los archivos de registro se identificaron partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y a encontrar una muestra. Las reglas YARA son básicamente cadenas de búsqueda que ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas con base en patrones de actividad sospechosa en sistemas o redes que comparten similitudes.
Después de un día de espera, los expertos encontraron la deseada muestra de malware, “tv.dll”, o “ATMitch” como fue nombrada posteriormente. Fue visto de manera activa dos veces: una vez desde Kazajistán y otra desde Rusia.
Este malware se instala y se ejecuta en un cajero automático desde el banco que es usado como blanco de manera remota. Una vez instalado y conectado, el malware ATMitch se comunica con el cajero automático como si fuera un software legítimo. Permite a los atacantes realizar una lista de comandos, incluyendo la recopilación de información sobre el número de billetes en los cartuchos del cajero automático. Es más, proporciona a los criminales la posibilidad de distribuir dinero en cualquier momento con sólo tocar un botón.
Por lo general, los criminales empiezan por obtener información sobre la cantidad de dinero que tiene la máquina. Después de eso, un criminal puede enviar una orden para dispensar cualquier número de billetes de alguno de los cartuchos. Después de retirar el dinero de esta peculiar manera, los criminales sólo toman el dinero y se van. Un robo como éste toma tan solo unos segundos.
Una vez que se roba un cajero automático, el malware elimina su rastro.