Los investigadores de seguridad de Kaspersky Lab han descubierto el modo de operación de un grupo de criminales que vaciaron 9 cajeros automáticos en Rusia en una sola noche. El novedoso método funciona con solo una inversión de 15 dólares y elimina cualquier rastro del programa después del ataque, volviéndose casi invisible e indetectable.
El grupo responsable de los ataques ha estado activo desde 2016 y operaba de manera intrigante: irrumpiendo en las agencias gubernamentales y bancos de más de 40 países, pero sin poner en evidencia por qué. Los atacantes usaban métodos sigilosos que escondían sus rastros en los servidores infectados, por lo que los investigadores sospechaban que estaban en busca de algún tipo de información, pero no sabían con exactitud cuál.
La amenaza cobró protagonismo cuando las cámaras de seguridad de un banco de Rusia registraron las acciones de una persona que en una noche visitó ocho cajeros automáticos para sacar el equivalente a 100.000 US$ por cajero. El delincuente vaciaba cada cajero en solo 20 minutos, obligándolo a expender 40 billetes sin que el atacante tenga necesidad de ni siquiera tocar la máquina.
Kaspersky Lab lideró las investigaciones sobre el caso, en el que las únicas evidencias iniciales eran las grabaciones de las cámaras de seguridad. Los sistemas informáticos del aparato no tenían instalado ningún programa malicioso ni tenían rastros de haber sufrido accesos sin autorización. Pero tras indagar sobre la amenaza, los investigadores descubrieron dos archivos de registro con información sobre todas las actividades de la máquina, que incluían una línea en inglés que decía “Llévate el dinero, idiota”. “Nuestra teoría es que algo salió mal al desinstalar el programa y por eso los archivos de registro quedaron allí”, explicó Sergey Golovanov, investigador de seguridad de Kaspersky Lab.
“La intrusión se divide en tres etapas: en las primeras dos se usan comandos que indican al cajero que emita los billetes que tiene almacenados para que puedan ser expedidos, y en la tercera se usa un comando que abre la boca del cajero. Este es el momento en el que aparece el comando ‘Llévate el dinero, idiota’ en el archivo de registro, y puede ser que también se haya mostrado en la pantalla del cajero para indicarle a la mula de dinero que tome los billetes y se vaya”, dijo un portavoz de Kaspersky Lab.
Cuando los atacantes descubrieron este código fue evidente que el sistema había sufrido una intrusión, pero el programa se había eliminado. Los investigadores vincularon este incidente con los intrigantes ataques de 2016 y llegaron a la conclusión de que podrían estar relacionados.
Los investigadores de seguridad recrearon el modo de ataque en un cajero automático usando solamente un taladro portátil y un equipo de 15 US$ para inyectar los comandos maliciosos en el equipo.
No se ha publicado la lista de cajeros vulnerables ni se ha nombrado a los bancos afectados, pero Kaspersky Lab afirmó que se han detectado más de 150 de estos ataques. Aunque por ahora la amenaza está limitada a Rusia y Europa, los investigadores no descartan la posibilidad de que se siga expandiendo hacia otros continentes, dada la simplicidad y eficacia de su elaboración.
Fuentes
Develan el funcionamiento de un programa fantasma que ayudó a vaciar 8 cajeros en una noche