Malware Atmitch, una misteriosa forma de robo de cajeros automáticos

Sabía usted qué…

 

Un  malware, no sólo afecta a endpoints y sistemas comunes, sino también a otros sistemas como los son cajeros automáticos de las diferentes entidades bancarias. Una de las amenazas publicadas es ATMitch, que ha sido analizado por los expertos en seguridad de Kaspersky Lab.  Luego de la investigación han descubierto cómo consiguen robar sin dejar rastro, no encontrando archivos maliciosos ni registro de transacciones realizadas, tampoco se encontró dinero. En lo que hace a este tipo de malware algo particular frente a otros tipos de amenazas.

¿Cómo se procedió frente a este tipo de malware?

 

Luego de presentarse el incidente los especialistas del banco encontraron 2 registros en un cajero automático  (kl.txt y logfile.txt). Estos archivos contenían muy poca información referente al suceso presentado, ya que después de ejecutar el robo, lo cibercriminales eliminaron el malware. Estos datos fueron enviados a Kaspersky Lab, para su evaluación.

Prontamente los expertos de Kaspersky Lab, validaron partes de información en texto plano, creando una regla YARA para encontrar registros y muestras del malware. Las reglas YARA son básicamente cadenas de búsqueda el cual analiza, agrupa y categoriza muestras de malware relacionadas estableciendo conexión entre ellas con base a patrones de actividad sospechosa en sistemas o redes que comparten similitudes.

En respuesta a este incidente se encontró la deseada muestra de malware  “ATMitch” como fue nombrada posteriormente.

¿Como se incorpora ATMitch ?

 

El ataque tuvo lugar porque los cibercriminales hicieron uso de una vulnerabilidad conocida pero no parcheada y entraron en los servidores del banco. Lo que realizaron instalación y ejecución en un cajero automático de forma remota desde el banco de destino. Una vez instalado y conectado, se comunica como si fuera un software legítimo, a un cajero automático

De esta manera los atacantes podían ejecutar una lista de comandos y recopilar información sobre el número de billetes, así como una ventana para la distribución de dinero con un simple ‘botón’.

“Todavía no se sabe quién está detrás de los ataques. El uso de código de explotación abierto, utilidades comunes de Windows y dominios desconocidos durante la primera etapa de la operación hace que sea casi imposible determinar el grupo responsable. Sin embargo, “tv.dll”, usado en la etapa ATM del ataque contiene un recurso en ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak”, dijo Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab.

Acciones a tomar frente a esta amenaza

r

Protección de cajeros automáticos

Los bancos deben proteger sus cajeros automáticos, estaciones de trabajo y servidores, no sólo la infraestructura bancaria.

Actualización de parches

Contar con actualización de parches, tanto en sistemas operativos como soluciones de seguridad.

W

Controles de seguridad

Aplicaciones de auditoria de forma autónoma o en conexión con los sistemas de información de seguridad y administración de eventos (SIEM), para detectar, analizar y responder a comportamientos inapropiados de usuarios internos y externos de manera pronta y eficaz ante una alerta de amenaza.

 

¿Necesita ayuda con alguna de las soluciones y estrategias de seguridad?

Cuéntenos un poco más sobre lo que necesita y muy pronto recibirá la ayuda correspondiente.

Para mayor información http://www.onasystems.net/contactenos/