Te habr\u00e1s dado cuenta de que nos gusta hablar de robos en cajeros autom\u00e1ticos. No, nosotros no los hackeamos<\/i>, pero cuando alguien lo hace, investigamos el caso. En el SAS 2017, el evento principal sobre ciberseguridad del a\u00f1o, los expertos de Kaspersky Lab Sergey Golovanov e Igor Soumenkov hablaron de tres casos interesantes.<\/p>\n
https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2020\/06\/30162932\/sas-atm-malware-featured.jpg<\/p>\n
El cajero autom\u00e1tico estaba vac\u00edo. Los forenses del banco no encontraron archivos maliciosos, ni huellas extra\u00f1as, ni rastros de ninguna interacci\u00f3n f\u00edsica con el dispositivo, ni placas bases adicionales ni ning\u00fan otro dispositivo que pudiera usarse para tomar el control de la m\u00e1quina. Tampoco encontraron dinero.<\/p>\n
Lo que s\u00ed que encontraron los empleados del banco fue un archivo: kl.txt. Pensaron que \u201ckl\u201d ten\u00eda algo que ver con Kaspersky Lab, por lo que se pusieron en contacto con nosotros y as\u00ed fue c\u00f3mo empezamos a investigar el caso.<\/p>\n
Ten\u00edamos que empezar a investigar por alguna parte, por lo que nuestros investigadores empezaron por ese archivo. Seg\u00fan el contenido de su registro, pudieron crear una regla YARA (YARA es una herramienta de investigaci\u00f3n de malware<\/i>); b\u00e1sicamente, hicieron una petici\u00f3n de b\u00fasqueda en dep\u00f3sitos p\u00fablicos de malware<\/i>. Lo usaron para tratar de encontrar la muestra de malware<\/i> original y, un d\u00eda despu\u00e9s, obtuvieron resultados: un DLL llamado tv.dll que por aquel entonces se hab\u00eda detectado un par de veces (una vez en Rusia y otra en Kazajist\u00e1n). Eso bast\u00f3 para deshacer el entuerto.<\/p>\n
Una investigaci\u00f3n a fondo del DLL permiti\u00f3 a nuestros investigadores realizar ingenier\u00eda inversa del ataque, comprender c\u00f3mo se llev\u00f3 a cabo de verdad y reproducir el ataque en un cajero de prueba con dinero falso en nuestro laboratorio de pruebas. Esto es lo que averiguaron:<\/p>\n
El ataque tuvo lugar porque los malos hicieron uso de una vulnerabilidad conocida pero no parcheada y penetraron en los servidores del banco. \u00bfNo hemos mencionado que actualizar el software<\/i> es obligatorio? Este es un buen ejemplo.<\/p>\n
Los atacantes usaron un c\u00f3digo abierto y herramientas disponibles p\u00fablicamente para infectar los ordenadores del banco, pero el malware<\/i> que crearon se escond\u00eda en la memoria de los ordenadores, no en sus discos duros. No hab\u00eda archivos, por lo que el ataque era muy dif\u00edcil de localizar (era pr\u00e1cticamente invisible para las soluciones de seguridad). Peor, casi todas las pistas del malware<\/i> desaparecieron cuando el sistema se reinici\u00f3.<\/p>\n
Entonces, los atacantes establecieron una conexi\u00f3n con su servidor de mando y control, lo que les permiti\u00f3 instalar remotamente software<\/i> en los cajeros autom\u00e1ticos.<\/p>\n Kaspersky Lab analiza el malware ATMitch y descubre una misteriosa forma de robar dinero de cajeros autom\u00e1ticos https:\/\/t.co\/c5GsaRhLuH<\/a><\/p>\n \u2014 Portaltic.es (@Portaltic) April 5, 2017<\/a><\/p><\/blockquote>\n\n