Una investigación conjunta sobre ataques a cajeros automáticos entre Motherboard y la emisora alemana Bayerischer Rundfunk (BR) ha descubierto nuevos detalles llamados "jackpotting" en Alemania en 2017 que vieron a los ladrones robar más de un millón de euros.
Jackpotting es una técnica donde los ciberdelincuentes usan malware o una pieza de hardware para engañar a un cajero automático para que expulse todo su efectivo, no se requiere tarjeta de crédito robada. Los piratas informáticos suelen instalar el malware en un cajero automático abriendo físicamente un panel en la máquina para revelar un puerto USB .
En algunos casos, hemos identificado el banco específico y el fabricante del cajero automático afectado. Aunque una organización europea sin fines de lucro dijo que los ataques con jackpotting han disminuido en la región en la primera mitad de este año, varias fuentes dijeron que la cantidad de ataques en otras partes del mundo ha aumentado.
Las regiones atacadas incluyen Estados Unidos, América Latina y el sudeste asiático, y el problema afecta a los bancos y fabricantes de cajeros automáticos en toda la industria financiera.
"Estados Unidos es bastante popular", dijo una fuente familiarizada con los ataques de cajeros automáticos. Motherboard y BR otorgaron a múltiples fuentes, incluidos los funcionarios encargados de hacer cumplir la ley, el anonimato para hablar con más franqueza sobre incidentes de piratería informática sensibles.
Durante la conferencia anual de seguridad cibernética Black Hat en 2010, el fallecido investigador Barnaby Jack demostró en vivo en el escenario su propia variedad de malware ATM. La audiencia estalló en aplausos cuando el cajero automático mostró la palabra "JACKPOT" y expulsó un flujo constante de billetes de banco.
Ahora, se han desplegado ataques similares en la naturaleza.
En esa instancia de Friburgo, no se robó dinero en efectivo, dijo el oficial de la ley.
Pero Christoph Hebbecker, un fiscal del estado alemán de Renania del Norte-Westfalia, dijo que su oficina está investigando 10 incidentes que tuvieron lugar entre febrero y noviembre de 2017, incluidos los ataques en los que los ladrones se llevaron dinero en efectivo.
En total, los piratas informáticos robaron 1,4 millones de euros ($ 1,5 millones), dijo Hebbecker.
Hebbecker agregó que debido a la naturaleza similar de los ataques, él cree que todos están vinculados a la misma pandilla criminal. En algunos casos, los fiscales tienen evidencia en video, pero hasta ahora no tienen sospechosos, agregaron.
"La investigación aún está en curso", dijo Hebbecker en un correo electrónico en alemán.
¿Cuáles con los cajeros automáticos afectados?
Múltiples fuentes dijeron que varios de los ataques de 2017 en Alemania afectaron al banco Santander; dos fuentes dijeron que involucraban específicamente el modelo de cajero automático Wincor 2000xe, fabricado por el fabricante de cajeros automáticos Diebold Nixdorf.
"En general, no hacemos comentarios sobre casos únicos y dedicados", dijo Bernd Redecker, director de seguridad corporativa y gestión de fraudes en Diebold Nixdorf, en una llamada telefónica.
"Sin embargo, por supuesto, estamos tratando con nuestros clientes en premios gordos, y somos conscientes de estos casos". Diebold Nixdorf también ha vendido estos cajeros automáticos al mercado estadounidense .
Un portavoz de Santander dijo en un comunicado enviado por correo electrónico:
"Proteger la información de nuestros clientes y la integridad de nuestra red física es el núcleo de lo que hacemos. Nuestros expertos están involucrados en cada etapa del desarrollo de productos y operaciones para proteger a los clientes y al banco de fraude y amenazas cibernéticas.
Este enfoque en la protección de nuestros datos y operaciones nos impide comentar sobre problemas de seguridad específicos ".
Las autoridades en Berlín dijeron que habían enfrentado al menos 36 casos de premios gordos desde la primavera de 2018, lo que resultó en el robo de varios miles de euros. Se negaron a nombrar el malware específico utilizado.
En total, las autoridades han registrado 82 ataques con bote en Alemania en diferentes estados en los últimos años, según portavoces policiales. Sin embargo, no todos esos ataques resultaron en retiros exitosos.
Adicionalmente es importante recordar que el premio mayor de los cajeros automáticos no se limita a un solo banco o fabricante de cajeros automáticos.
Es probable que los otros ataques hayan afectado a otros bancos además de Santander; esos son simplemente los ataques que identificó nuestra investigación.
"Verá esto en todos los proveedores; esto no está dedicado a una máquina específica, ni a una marca específica, y definitivamente no es una región", dijo Redecker.
Parte del problema de seguridad para los cajeros automáticos es que muchos de ellos son, en esencia, computadoras con Windows antiguas.
"Estas son máquinas muy viejas y lentas", dijo la fuente familiarizada con los ataques de cajeros automáticos.
Los fabricantes de cajeros automáticos han realizado mejoras de seguridad en sus dispositivos, subrayó Redecker de Diebold Nixdorf. Pero eso no significa necesariamente que todos los cajeros automáticos de la industria cumplan con el mismo estándar.
Y la responsabilidad de asegurar el acceso a los cajeros automáticos también recae en los bancos.
"Para ejecutar un ataque de jackpotting, debes tener acceso a los componentes internos del cajero automático. Por lo tanto, evitar ese primer ataque físico en el cajero automático ayuda en gran medida a prevenir el ataque de jackpotting", David N. Tente, director ejecutivo de Estados Unidos, Canadá y América en la Asociación de la Industria ATM (ATMIA), dijo en un correo electrónico.
Redecker dijo que ha estado viendo ataques en todo el mundo desde 2012, y Alemania sufrió sus primeros ataques con botes en Berlín en 2014.
En la época de los ataques de 2017, los investigadores de la firma de ciberseguridad Kaspersky publicaron una investigación que muestra que Cutlet Maker está a la venta en foros de piratería desde mayo de ese año. Parecía que cualquiera con unos pocos miles de dólares podría comprar el malware y probar los cajeros automáticos con jackpot.
"Los malos están vendiendo estos desarrollos [malware] a cualquiera", dijo David Sancho, investigador principal de amenazas de la firma de seguridad cibernética Trend Micro, y que trabaja con Europol en la investigación de premios gordos. Eso ha permitido que equipos más pequeños o delincuentes emprendedores comiencen a atacar cajeros automáticos, agregó.
"Potencialmente, esto puede afectar a cualquier país del mundo", dijo Sancho.
Motherboard habló con un cibercriminal que afirmaba vender el malware Cutlet Maker.
"Sí, estoy vendiendo. Cuesta $ 1000", escribieron en un correo electrónico, agregando que también pueden ofrecer soporte sobre cómo usar la herramienta.
El vendedor proporcionó capturas de pantalla de un manual de instrucciones en ruso e inglés, que muestra a los usuarios potenciales cómo vaciar un cajero automático.
Las secciones del manual incluyen cómo verificar cuántos billetes hay dentro del cajero automático y cómo instalar el malware en sí.
La Asociación Europea para Transacciones Seguras (EAST), una organización sin fines de lucro que rastrea el fraude financiero, dijo que los ataques con bote disminuyeron un 43 por ciento durante el año anterior, en un informe publicado este mes.
Pero vale la pena destacar que el informe de EAST solo cubre Europa.
"Sucede en partes del mundo donde no tienen que contarle a nadie al respecto", agregó la fuente familiarizada con los ataques de cajeros automáticos. "Está aumentando, pero, una vez más, el mayor problema que tenemos es que nadie quiere reportar esto".
Podría decirse que la reducción de la barrera de entrada al malware ATM ha llevado a algunos de los aumentos en los ataques de jackpotting.
En enero de 2018, el Servicio Secreto comenzó a advertir a las instituciones financieras de los primeros ataques con jackpotting en los EE. UU., Aunque usaron otra pieza de malware para cajeros automáticos llamada Ploutus.D.
"A nivel mundial, una encuesta de 2019 indica que los ataques de jackpotting están aumentando", escribió Tente de ATMIA en un correo electrónico.
Como dijo la fuente familiarizada con los ataques a cajeros automáticos, "están ocurriendo ataques, pero muchas veces no se publicitan".
El acto de usar malware para obligar a los cajeros automáticos a funcionar mal y vaciar su efectivo, conocido como "jackpotting", ha existido durante algún tiempo, pero los actores están encontrando formas novedosas de sortear las defensas integradas.
La empresa Intel 471 en 2021, observó a un actor que vendía malware para cajeros automáticos que supuestamente podría implementarse utilizando un kit de computadora Raspberry Pi especialmente diseñado y controlarse de forma remota a través de un teléfono inteligente o una computadora portátil.
Los cajeros automáticos no son el único hardware en la mira de los delincuentes. El malware de punto de venta (PoS) también se vende en mercados clandestinos, aprovechando las fallas en los dispositivos utilizados para procesar los pagos con tarjeta en las tiendas minoristas para robar información confidencial.
Intel 471 observó a un actor en febrero de 2021 que vendía malware PoS denominado "ATM & POS Malware Injector" que supuestamente operaba como rastreador de datos sin requerir una acción adicional por parte del usuario.
Las características del malware incluían la salida de datos de transacciones de pago en un cuadro de resultados que incluía datos de la Pista 1 y la Pista 2, así como el código del número de identificación personal (PIN) para la tarjeta de pago comprometida.
Los datos recopilados a través de este tipo de malware tienen la capacidad de usarse en otras actividades fraudulentas u ofrecerse a la venta como un producto en foros clandestinos o mediante servicios de tiendas de volcado.
Si bien la economía global se vio afectada durante el último año a medida que se recuperaba de la pandemia, el mercado clandestino continúa floreciendo con nuevas oportunidades a medida que crece el grupo de víctimas potenciales con el aumento de personas que utilizan los servicios en línea.
La compra, venta y comercialización de productos, bienes y servicios utilizados para delitos ha alimentado varios esquemas de ataque, muchos de ellos desarrollados específicamente para apuntar al sector de servicios financieros.
Es evidente que varios actores de amenazas aprovecharon múltiples productos, bienes y servicios para maximizar el impacto y las ganancias potenciales. El objetivo de los servicios financieros sigue siendo grande, con nuevos actores que constantemente desarrollan formas de sustraer el dinero a sus propietarios legítimos.