Fuente: SearchSecurity.com

Investigadores de Trustwave dijeron que el malware utilizado para comprometer varios sistemas de cajeros automáticos (ATM) en el este de Europa permite a los atacantes tomar control y retirar efectivo de los mismos.

Trustwave, un proveedor de servicios y productos de seguridad de información y cumplimiento con el estándar de la industria de tarjetas de pago (PCI DSS) basado en Chicago, descubrió el malware mientras investigaban las violaciones de ATM en Rusia y Ucrania durante los últimos meses. Alrededor de 20 cajeros automáticos estaban infectados con malware sofisticado que permite a los atacantes no sólo robar datos sensibles y PINs, sino también efectivo, dijo Nicholas Percoco, Vice Presidente y responsable del equipo de seguridad SpiderLabs de Trustwave.

Las violaciones parecen ser trabajos internos, puesto que el atacante necesita acceso físico al ATM para poder instalar y ejecutar el programa malicioso, según Trustwave. Percoco dice que un atacante podría ser alguien que recibe una copia de las llaves del ATM, abre la máquina y carga el malware en el sistema.

Los atacantes pueden entonces utilizar una tarjeta en la máquina infectada, parecida a una tarjeta de cajero automático, pero que contiene información que activa el programa malicioso, y que tiene incorporado un interfaz de usuario, dijo. “Usted inserta esta tarjeta modificada, la retira, y es presentado un interfaz en la pantalla que le pregunta qué desea hacer,” dijo Percoco.

Dependiendo del número de funciones disponibles en la tarjeta controladora, un delincuente puede ver el número de transacciones en el ATM o imprimir los datos de tarjetas recolectados en la impresora de recibos del cajero automático. Una tarjeta multifunción podría permitir al atacante dispensar efectivo de la máquina, con retiros de hasta US$600,000 en los cajeros automáticos grandes, dijo Percoco. Esto da a los atacantes un botín potencialmente mayor que el robo de la banda magnética y PINs de tarjetas, lo que los limita a la cantidad de dinero en la cuenta de una persona, dijo.

“Con esto, pueden ir con una bolsa y dejar la máquina vacía”, dijo.

Los cajeros automáticos comprometidos corrían Microsoft Windows XP, pero Trustwave no puede revelar el software de cajero automático que ataca el malware, dijo Percoco. Dijo que los investigadores creen que el malware está relacionado con el utilizado en los ataques de malware en los cajeros automáticos de Diebold en Rusia a principios de este año, pero dijo que ataca múltiples proveedores, es mucho más avanzado y sigue evolucionando y propagándose. Trustwave recolectó varias versiones del software malicioso.

“Los atacantes lo están desarrollando constantemente”, dijo Percoco.

La sofisticación y naturaleza evolutiva del malware plantea preocupación de que podría propagarse fuera de Europa oriental hacia los EE.UU., de acuerdo con Trustwave. La compañía cree que los atacantes añadirán funcionalidad que le permitirá difundirse a través de la red ATM y recomienda que todas las instituciones financieras analicen su ambiente de cajeros automáticos ante esta posibilidad.

Percoco afirma que bancos en EE.UU deben asegurarse de que todos los cajeros automáticos se encuentren endurecidos y que integren las mejores prácticas, tales como no utilizar contraseñas por defecto. También deben saber quién tiene acceso a las máquinas, algunos bancos contratan empresas para dar servicio a cajeros automáticos, las cuales pueden tener personal temporero.

“Lo que hemos visto al hablar con algunos bancos en los EE.UU. es que muchos no tienen control en la seguridad de los cajeros automáticos propiamente dicho”, dijo. “Ellos siempre asumen que porque están cerrados no son muy vulnerables, pero una vez se tiene una llave para abrir los sistemas, en muchos casos la postura de seguridad es baja.”