27 mar. 2018

Jackpotting: capturan delincuente en España y roban $800.000 en Argentina

Captura en España

Expertos en seguridad informática alertaban a finales de 2016 de la difusión de los ataques de jackpotting, especialmente en Europa del este, pero también en España y el Reino Unido. Este tipo de incidentes busca desvalijar cajeros automáticos manipulando su funcionamiento mediante medios electrónicos para extraer miles de euros en efectivo. Si bien antiguamente estas operaciones se realizaban cajero por cajero, en los últimos años se ha observado la aparición de ataques más sofisticados que permiten el secuestro remoto de los cajeros a través de malware.
Ahora, efectivos de la Policía Nacional, en colaboración con la Europol, las autoridades rumanas, bielorrusas y taiwanesas, así como el FBI, han arrestado en Alicante al que es descrito como el líder (conocido como Denis K.) de una banda de cibercriminales que habría ocasionado pérdidas valoradas en 1.000 millones de Euros (1.240 millones de dólares). Este grupo sería responsable del malware conocido como Cobalt o Carbanak, utilizado en multitud de golpes durante los cuales se habrían llegado a sustraer hasta 10 millones por ataque.

El detenido, de 34 años de edad y nacionalidad ucraniana, vivía junto a su familia y formaba parte según la policía de un grupo especializado en este tipo de operaciones. La técnica utilizada comenzaba con el envío al empleado de un banco de un e-mail con un adjunto malicioso. Una vez instalado, el software permitía tomar el control del ordenador, conectarse a la red interna de la entidad y tomar el control de los cajeros automáticos.

A partir de ahí los miembros de la banda podían introducir un comando especial para que el cajero realizara entregas de efectivo fraudulentas, inflar falsamente el saldo de una cuenta o realizar transferencias al extranjero. El dinero obtenido mediante estos métodos era después convertido en criptomonedas para lavarlo y reducir su trazabilidad. Estas operaciones se realizaban a cientos e incluso miles de kilómetros de distancia; mientras el supuesto detenido o sus socios enviaban a los cajeros la orden de entregar el efectivo almacenado, "mulas" asociadas a la banda estaba ya esperando para recoger los billetes.

Según el diario El Mundo, el detenido era el jefe de desarrollo de un equipo técnico compuesto por otras dos personas en Ucrania y una tercera en Rusia. De acuerdo con Fernando Ruiz, jefe de Operaciones de Ciberdelincuencia de Europol, se les acusa de robos a más de 100 entidades bancarias en 40 países de todo el mundo. Y aunque la mayor parte de los ataques se centraban en Rusia, donde la seguridad informática era especialmente laxa, en Madrid habrían llegado a robar alrededor de 500.000 euros en cajeros durante el primer trimestre de 2017.

Los delincuentes no gastaron el dinero mal obtenido, sino que lo cambiaron por bitcoins. Una vez convertida, la criptomoneda se utilizó para comprar diferentes activos, incluyendo bienes inmuebles y vehículos en España. En febrero de 2018, la policía tailandesa detuvo a un ciudadano ruso, Sergey Medvedev, alegando que era la segunda persona al mando en una organización internacional de ciberdelincuencia y administrador del sitio de la web oscura Infraud. El portal se utilizaba para vender tarjetas de crédito robadas, identidades y documentos gubernamentales obtenidos ilegalmente. En el momento del arresto, Medvedev estaba en posesión de más de 100.000 Bitcoins (BTC), lo que equivalía aproximadamente a 820 millones de dólares en ese momento.

Cabe señalar que la actividad del malware Carbanak/Cobalt (que a su vez daba nombre a la organización que lo usaba) dista mucho de ser algo reciente. Kaspersky ya identificó públicamente estos ataques a comienzos de 2015, y desde entonces han sido varias las firmas que han realizado varios análisis sobre su funcionamiento. Todos ellos tienen un factor común: la pobre seguridad de los cajeros automáticos y de la propia infraestructura utilizada por los bancos para controlarlos.
Su detención ha sido anunciada esta mañana por el ministro del Interior español, Juan Ignacio Zoido, y supone el punto final a tres años de laboriosa investigación por parte de la Unidad de Investigación Tecnológica.

"Esta es una de las operaciones más importantes, por la trascendencia internacional y por las cantidades robadas. Lograron acceder, por ejemplo, a todos los bancos de Rusia".

Modus Operandi de Carbanak

Desde 2013, la banda ha intentado atacar distintas entidades bancarias, concretamente los sistemas de pago electrónico usando distintas piezas de malware diseñados por ellos. El modus operandi del grupo criminal comenzó a finales de 2013, lanzando el malware Anunak dirigido a cajeros automáticos de distintas instituciones bancarias alrededor del mundo. Al año siguiente, los autores de Anunak mejoraron el código del malware a una versión más sofisticada llamada Carbanak, usado hasta finales de 2016. A partir de entonces, los autores dedicaron sus esfuerzos a desarrollar unas oleadas de ataques más sofisticadas usando Cobalt Strike, un software de pentesting.
En todos estos ataques se utilizaba un modus operandi similar, los criminales enviarían a empleados de la banca correos cuyo contenido era spear-phishing (phishing dirigido a usuarios concretos) con un archivo adjunto malicioso. Al ser descargado, el software permitía a los criminales controlar remotamente las máquinas de las víctimas, y obtener acceso a la red interna del banco para poder infectar los servidores que controlan los cajeros automáticos. Gracias a esto, los atacantes poseían la información suficiente para poder extraer dinero de los cajeros.

Para poder sacar dinero, los atacantes enviaban órdenes a los cajeros de manera remota. El dinero era recolectado por grupos criminales organizados, que daban soporte al sindicato criminal principal. Al enviarse la orden, un miembro del grupo estaba esperando cerca de la máquina para extraer el dinero del cajero. La red de pagos electrónicos se utilizaba para transferir el dinero a otras cuentas de la organización o de distintas entidades bancarias. Las bases de datos también eran manipuladas, para aumentar las cantidades de dinero que luego eran extraidas por las mulas. Finalmente, el dinero se lavaba a través de criptomonedas, utilizadas para comprar casas y coches de lujo.

Robo en Argentina

Al menos dos cajeros del Banco de Córdoba (Banco), ubicados en los barrios Centro América y San Rafael, fueron hackeados y delincuentes no identificados lograron llevarse un estimado en 800 mil pesos en efectivo. Se trata de otro ataque con el método jackpotting.

Según confirmó ayer el Ministerio Público Fiscal, el primer y único hecho verificado por la Justicia habría ocurrido el pasado miércoles 14 de este mes en un cajero automático ubicado en la esquina de Arturo Capdevila y Ferdinand de Lesseps, en barrio Centro América. Ambos aparatos tienen como común denominador la marca del equipo y un software antiguo: se trata de cajeros de marca Wincor Nixdorf, de origen alemán. La Justicia aclaró que ninguna cuenta particular fue afectada, puesto que se hackearon los sistemas de expendio de billetes.

¿Cómo funciona?

El sitio de ciberseguridad 21Sec publicó una explicación paso a paso de cómo funciona este malware para hacer "saltar" el cajero.
  1. Los ciberdelincuentes consiguen el acceso físico al núcleo de la CPU del ATM rompiendo la fascia o mediante el uso de llaves.
  2. Una vez han ganado acceso físico, consiguen acceso a los puertos USB o a la unidad de ROM para infectar el ATM con el malware. Al mismo tiempo, conectan un teclado estándar para poder operar.
  3. El malware contiene un ejecutable (AgilisConfigurationUtility.exe) y un Launcher (Diebold.exe). El ejecutable puede lanzarse como aplicación independiente o como servicio instalado por el Launcher, siendo controlado desde el teclado.
  4. El troyano se ejecuta en segundo plano esperando una combinación de teclas para su activación y toma de control del ATM. Más tarde, despliega un GUI personalizado que solicita un código de autorización para garantizar el control de la mula.
  5. Si se otorga la autorización, el malware muestra detalles de la cantidad de dinero disponible en cada cajero, y usa componentes XFS de Kalignite para interactuar con el dispensador de ATM, permitiendo así al ciberdelincuente lanzar múltiples comandos de dispensación de dinero hasta dejar el cajero sin efectivo (cash-out).
  6. Los códigos de activación y dispensación se pueden enviar a el software desde el teclado estándar conectado por el ciberdelincuente o desde el propio pinpad del ATM.
  7. Por último, una vez se ha completado la acción de cash-out, el malware da la oportunidad de llevar a cabo un mecanismo de limpieza por el cual se elimina cualquier rastro del ataque.
La Justicia señaló que "en la metodología de este tipo de hackeo no se copian datos de los usuarios, sino que se accede directamente al sistema operativo de cada cajero".

Fuente: Europol | Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!