Cajeros automáticos, bajo ataque de los hackers
La compañía de seguridad en internet Kaspersky Lab dio a conocer ayer que el malware conocido como Plotus viola la seguridad de los cajeros automáticos (ATM) de varias compañías en el paísPublicado por Paul Lara el Martes 15-10-2013
Cajeros automáticos, bajo ataque de los hackers
Publicado por Paul Lara el Martes 15-10-2013
CIUDAD
DE MÉXICO, 15 de octubre.- El pasado 27 de septiembre, la empresa
SafenSoft hizo la primera llamada de alerta. Un código malicioso estaba
afectando varios cajeros automáticos (ATM) en México, extrayendo miles
de pesos de forma no autorizada. Ayer se dio a conocer toda la historia.
El malware, conocido como Plotus, violaba la seguridad de los dispensadores de efectivo, mediante un panel de control que permitía definir la cantidad de dinero y las denominaciones a extraer cuando un usuario entraba a usar un servicio bancario.
De acuerdo a SpiderLabs, este malware incluye varias
peculiaridades, entre ellas que requiere de un código de activación para
funcionar, y al momento de la infección se conecta al teclado del
cajero para leer información, y si detecta cierta combinación de teclas,
aparece un panel de control que aparentemente se opera de forma táctil.
“Un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región. Por temas de confidencialidad no se puede señalar que bancos fueron afectados, pero se sospecha que éste fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas”, dio a conocer a Excélsior Roberto Martínez, CEO de Kaspersky Lab en México.
Infiltrados
Según las investigaciones, el vector de infección del sistema fue un CD-ROM, por lo que se requirió de acceso físico al equipo para poder afectarlo con el malware.
Pablo Ruiz Galindo, director general de la compañía Proac, que presta el servicio de cajeros automáticos (ATM) a bancos en México y uno de los afectados, dio a conocer ayer en entrevista con Excélsior que fueron dos las marcas principalmente las afectadas por hackers, a quienes se les robaron varios miles de pesos.
“Por confidencialidad no podemos especificar el monto perdido. Lo que si es que los usuarios no fueron afectados, este fue un robo directamente a los cajeros. Una vez colocado el malware, los criminales ordeñaban la máquina a través de un dispositivo móvil. Nosotros trabajamos rápidamente en un parche de seguridad, por lo cual sólo un cajero fue afectado. La información que tenemos es que a otras compañías les robaron de hasta 50 cajeros”, dijo Ruiz Galindo.
De Venezuela para México
Aseguró que una parte de la banda de delincuentes cibernéticos ya fue capturada y encerrada en el Reclusorio Oriente, y reveló que son de nacionalidad venezolana.
Según datos de empresas de seguridad, hubo tres marcas afectadas en el robo de los cajeros por parte de los hackers: NCR, Wincor y Proac.
“Se piensa que esta es una tendencia que puede ir en crecimiento, debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta o más recientemente cajeros automáticos en Estados Unidos”, añadió Roberto Martínez, cuestionado sobre lo que puede ocurrir en los próximos meses.
Agregó que ésta es una muestra en particular interesante no debido a su complejidad técnica, sino a la cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica y en este caso particularmente en México.
Según la compañía de seguridad informática Norton, en nuestro país los ataques de
malware afectan a las empresas con pérdidas anuales de 39 mil millones de pesos.
A escala mundial, el costo de este tipo de ciberataques es de 113 mil millones de dólares, de los cuales 38% son pérdidas por fraudes, 24% por reparaciones, 21% por pérdida de información robada y 17% por otros ataques.
Cómo funciona el malware Plotus
1.- Al introducirse un CD-ROM en el sistema, se ejecuta como un servicio de Windows llamado NCRDRVPS.
2. Los delincuentes crean una interfaz para interactuar con el software de ATM en un cajero automático, a través de la clase NCR.APTRA.AXFS
3.- Su nombre binario es PlotusService.exe
4.- Se crea una ventana oculta que puede ser activada por los delincuentes para interactuar con el cajero automático.
5.- Interpreta combinaciones de teclas específicas, introducidos por los delincuentes, como los comandos que se pueden recibir de un teclado externo (que debe conectarse a la ATM).
6.- Genera un ID en el cajero: número creado aleatoriamente asignado al cajero automático, basado en día y mes actual al momento de la infección.
7.- Activa el ID en el cajero: establece un temporizador para dispensar dinero. El malware “ordeña” el dinero dentro de las primeras 24 horas después de que se ha activado.
8.- Dispensa efectivo: se vierte el dinero solicitado por los delincuentes.
9.-Se reinicia el periodo de tiempo de dosificación del efectivo.
El malware, conocido como Plotus, violaba la seguridad de los dispensadores de efectivo, mediante un panel de control que permitía definir la cantidad de dinero y las denominaciones a extraer cuando un usuario entraba a usar un servicio bancario.
De acuerdo a SpiderLabs, este malware incluye varias
peculiaridades, entre ellas que requiere de un código de activación para
funcionar, y al momento de la infección se conecta al teclado del
cajero para leer información, y si detecta cierta combinación de teclas,
aparece un panel de control que aparentemente se opera de forma táctil.“Un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región. Por temas de confidencialidad no se puede señalar que bancos fueron afectados, pero se sospecha que éste fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas”, dio a conocer a Excélsior Roberto Martínez, CEO de Kaspersky Lab en México.
Infiltrados
Según las investigaciones, el vector de infección del sistema fue un CD-ROM, por lo que se requirió de acceso físico al equipo para poder afectarlo con el malware.
Pablo Ruiz Galindo, director general de la compañía Proac, que presta el servicio de cajeros automáticos (ATM) a bancos en México y uno de los afectados, dio a conocer ayer en entrevista con Excélsior que fueron dos las marcas principalmente las afectadas por hackers, a quienes se les robaron varios miles de pesos.
“Por confidencialidad no podemos especificar el monto perdido. Lo que si es que los usuarios no fueron afectados, este fue un robo directamente a los cajeros. Una vez colocado el malware, los criminales ordeñaban la máquina a través de un dispositivo móvil. Nosotros trabajamos rápidamente en un parche de seguridad, por lo cual sólo un cajero fue afectado. La información que tenemos es que a otras compañías les robaron de hasta 50 cajeros”, dijo Ruiz Galindo.
De Venezuela para México
Aseguró que una parte de la banda de delincuentes cibernéticos ya fue capturada y encerrada en el Reclusorio Oriente, y reveló que son de nacionalidad venezolana.
Según datos de empresas de seguridad, hubo tres marcas afectadas en el robo de los cajeros por parte de los hackers: NCR, Wincor y Proac.
“Se piensa que esta es una tendencia que puede ir en crecimiento, debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta o más recientemente cajeros automáticos en Estados Unidos”, añadió Roberto Martínez, cuestionado sobre lo que puede ocurrir en los próximos meses.
Agregó que ésta es una muestra en particular interesante no debido a su complejidad técnica, sino a la cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica y en este caso particularmente en México.
Según la compañía de seguridad informática Norton, en nuestro país los ataques de
malware afectan a las empresas con pérdidas anuales de 39 mil millones de pesos.
A escala mundial, el costo de este tipo de ciberataques es de 113 mil millones de dólares, de los cuales 38% son pérdidas por fraudes, 24% por reparaciones, 21% por pérdida de información robada y 17% por otros ataques.
Cómo funciona el malware Plotus1.- Al introducirse un CD-ROM en el sistema, se ejecuta como un servicio de Windows llamado NCRDRVPS.
2. Los delincuentes crean una interfaz para interactuar con el software de ATM en un cajero automático, a través de la clase NCR.APTRA.AXFS
3.- Su nombre binario es PlotusService.exe
4.- Se crea una ventana oculta que puede ser activada por los delincuentes para interactuar con el cajero automático.
5.- Interpreta combinaciones de teclas específicas, introducidos por los delincuentes, como los comandos que se pueden recibir de un teclado externo (que debe conectarse a la ATM).
6.- Genera un ID en el cajero: número creado aleatoriamente asignado al cajero automático, basado en día y mes actual al momento de la infección.
7.- Activa el ID en el cajero: establece un temporizador para dispensar dinero. El malware “ordeña” el dinero dentro de las primeras 24 horas después de que se ha activado.
8.- Dispensa efectivo: se vierte el dinero solicitado por los delincuentes.
9.-Se reinicia el periodo de tiempo de dosificación del efectivo.
No hay comentarios.:
Publicar un comentario