Ataques remotos a cajeros: cómo defenderse ante nuevos métodos de saqueo

Negocios

Si estabas esperando el análisis de cómo se han podido robar millones de dólares de cajeros bancarios de forma remota, este artículo de Antonio Martínez Algora, Responsable Técnico de Stormshield en Iberia, es el que buscas.

La semana pasada se hizo público un ciberataque que afectó a bancos europeos, incluido alguno español, y posiblemente también asiáticos. Mediante este ataque, los ciberdelincuentes consiguieron programar cajeros de forma remota para que, a una determinada hora, éstos dispensasen efectivo sin control. El dinero robado, recogido discretamente por colaboradores de la banda directamente desde el propio cajero, se cifra en millones de dólares.

El ataque ha sido reportado por el grupo de seguridad cibernética Group-IB, desde donde no se ha facilitado la identidad ni el número de bancos afectados. No obstante, parece ser que el ATA (Advanced Targeted Attack) se ha producido empleando Cobalt Strike, un software de pruebas de penetración utilizado habitualmente en ejercicios de simulación por equipos rojos (atacantes) contra azules (defensores). De fácil acceso, previo pago de unos 3.500 dólares por una licencia anual, Cobalt Strike, como otros programas informáticos disponibles en el mercado, es en realidad un conjunto de herramientas para explotar vulnerabilidades de seguridad.

 El Golpe: la elaboración de la trampa

Llama la atención la similitud de este ataque con Carbanak, descubierto hace un par de años. No obstante, en aquel suceso, la expedición de efectivo a través de cajeros fue uno de los métodos empleados, pero no el único.

En este caso concreto, el ataque se ha producido a través de los puestos de trabajo de la oficina bancaria. Un correo electrónico con un fichero adjunto -en apariencia legítimo- es recibido por un empleado de la entidad. Tras abrirlo, el malware se introduce en la intranet de la oficina sin que el empleado o cualquier otro responsable sospeche nada. Aprovechando a su vez vulnerabilidades de las aplicaciones o del propio Sistema Operativo, los piratas envían las órdenes de retirada de efectivo al cajero.

Ahora bien: ¿cómo es posible que haya tenido éxito un ataque de este tipo? ¿No cuenta con sistemas de seguridad la oficina bancaria? Sí los tiene, pero el firewall de la oficina no puede bloquear un correo con un fichero adjunto de un tipo permitido. De igual manera, un antivirus no es capaz de detectar un proceso ilegítimo lanzado desde una aplicación legítima, como el correo electrónico o una aplicación de ofimática.

El desenlace

 ¿Podrían haber hecho algo más las entidades afectadas? Sí, hay soluciones ya probadas con otros malwares, como el Carbanak, soluciones que monitorizan procesos y bloquean aquellas acciones ilegítimas realizadas por un procedimiento legítimo.

El análisis del comportamiento se realiza de forma determinística, impidiendo la inyección de código ilegítimo dentro de la aplicación legítima. La ventaja de este tipo de análisis es su eficacia para bloquear el malware en el mismo instante en que se hubiese intentado ejecutar, sin necesidad de un conocimiento previo del exploit o de la vulnerabilidad utilizada.  A esto se le denomina protección día cero.

Lea también :