Una familia nunca antes vista de malware conocida como RIPPER fue responsable de una ola de ataques a cajeros automáticos en Tailandia la semana pasada. El malware, descubierto por investigadores de FireEye, ha cobrado 12 millones de baht ($378,000 dólares) de cajeros automáticos en Tailandia.
El descubrimiento del malware coincidió con noticias del diario Bangkok Post sobre robos en cajeros a cargo de cibercriminales. Mientras las agencias de seguridad en Tailandia no han atribuido el robo al malware RIPPER, FireEye aseguró que se trata de este ciberataque.
Los ataques “sugieren que esta pieza de malware (RIPPER) es la misma que usan para obtener dinero de cajeros automáticos en Tailandia”, escribió en un post Daniel Regalado, investigador senior en la firma de seguridad.
Los atacantes pueden penetrar los cajeros con un chip EMV (EuroPay, MasterCard y Visa) en una tarjeta. Esta sirve como un mecanismo de autenticación, permitiendo al atacante abrir una puerta trasera para infectar el software del cajero con RIPPER, dijo Regalado. En la misma sesión en el cajero automático, los atacantes usan el display de PinPad para enviar una combinación de comandos y así engañar al cajero para que entregue dinero.
No es claro si el dinero es retirado de los bancos en cuestión o de la cuenta de un cuentahabiente. Sin embargo, los atacantes están limitados a 40 billetes por retiro, lo cual limita la cantidad robada en cada interacción con el cajero.
Mientras que el RIPPER es nuevo, la técnica usada por este malware ha sido vista con anterioridad, particularmente en los ataques de la familia Skimer, de 2013. Los cibercriminales han reusado una versión más evolucionada del malware Skimer, de acuerdo con la publicación de seguridad publicado por Kaspersky Lab, en mayo.
De acuerdo con FireEye, RIPPEr es diferente de Skimer, puesto que necesita de un tipo especial de cajero automático con un chip EMV para autenticar e infectar el dispositivo. Skimer necesita acceder al sistema del cajero a través de la red interna del banco.
El análisis de RIPPER ha demostrado que el malware afecta tres tipos de cajeros basados en Windows. El malware deshabilita la red de conexión de los cajeros y después elimina el proceso “dbackup.exe” y reemplaza el “dbackup.exe” con el propio, junto con otros componentes clave del software del cajero.
“RIPPER examinará el contenido de los directorios asociados con el cajero objetivo y reemplazará ejecutables legítimos con los propios. Esta técnica permite que el malware mantenga el nombre legítimo del programa para evitar suspicacias”, escribió Regalado.
RIPPER persiste en el cajero automático al añadirse al registro de llave “\Run\FwLoadPm”, pasando el parámetro “\autorun” que es comprendido por el malware.
“Una vez que los ladrones comienzan a interactuar con RIPPER, envían instrucciones a través del PinPad y así múltiples opciones son desplegadas, incluyendo métodos para entregar circulante”, según Regalado.
Cuando los atacantes terminan el robo, RIPPER se esconde activando la interface de programación de aplicación ShowWindow GUI. La red de cajeros automáticos es desactivada, lo cual evita que el cajero se comunique con la red del banco.
La firma no especifica qué cajeros automáticos son vulnerables al ataque, pero dijo: “Esta familia de malware puede ser usada para afectar muchas plataformas y utiliza tecnología poco común para acceder a dispositivos físicos”.
El Bangkok Post reportó que los cajeros fueron construidos por NCR y han sufrido 21 ataques a cajeros automáticos entre el 9 de julio y el 23 de agosto.
Fuente:https://www.seguridad.unam.mx/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad