Novo malware invade caixas eletrônicos

A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – juntamente ao European Cybercrime Center (EC3) da Europol acabam de lançar um relatório sobre o aumento na incidência de ataques remotos visando os caixas eletrônicos (ou máquinas ATM). O relatório “Cashing in on ATM Malware” em tradução livre “Lucrando com o Malware ATM” detalha dois diferentes tipos de ataque:

– Ataques feitos em caixas eletrônicos por métodos físicos: neste caso, cibercriminosos geralmente abrem a máquina com uma chave genérica ou à força;

– Ataques às ATMs feitos via rede e que envolvem primeiramente o hackeamento de contas bancárias corporativas.

O estudo destaca a evolução dos ataques que antes exigiam acesso físico para infectar as máquinas e, agora, são executados utilizando redes bancárias para roubar dinheiro e dados de cartão de crédito, independentemente da segmentação de rede. Além disso, ilustra também como os cibercriminosos estudam as possibilidades antes de chegar ao ataque real.

Típico ataque físico em máquinas ATM

Esses ataques não só colocam em risco as informações de identificação pessoal (PII) e grandes quantias de dinheiro, mas também são uma falha de conformidade dos bancos em violação com relação aos padrões PCI.

Obter dinheiro não é o único objetivo dos “cybercrooks” nos ataques aos caixas eletrônicos. Esses criminosos também podem comprometer os dados dos clientes em um processo conhecido como skimming, em que são roubados os dados de cartões para obtenção de informações roubadas.

A propagação de ataques por meio da rede, expõe bem menos os cibercriminosos. No entanto, o ataque virtual às ATMs exige um preparo técnico bem maior: o ponto mais sensível é acessar a rede ATM tendo a rede do banco como ponto de partida.

Uma rede planejada da forma correta deveria contar com a rede ATM separada da rede principal do banco. Dessa forma, ter acesso a uma rede, não significaria ganhar acesso à outra. Para acessar as duas redes simultaneamente, o ideal seria que a empresa adotasse protocolos de segurança básicos como autenticação em duas etapas e firewalls.

No entanto, segundo a Trend Micro, mesmo as instituições financeiras que contavam com as duas redes separadas, reportaram incidentes e demonstraram como os cibercriminosos estabeleceram um ponto de apoio sólido na rede principal de um banco, instalando com sucesso o malware em caixas eletrônicos.

Baseado nas observações da Trend Micro sobre diferentes ataques a redes bancárias invadidas por cibercriminosos, os procedimentos são tão simples quanto enviar e-mails phishing aos funcionários de um banco. Uma vez infiltrado, o cibercriminosos realiza movimentos laterais para acesso das sub-redes, incluindo as máquinas ATM’s.

O Ripper é um dos mais conhecidos malware de ATM que usaram a rede como vetor de infecção. Direcionado a três dos principais fabricantes de caixas eletrônicos, milhares de máquinas ATM foram atacadas na Tailândia.

Esse malware conta com capacidades de jackpotting, permitindo que sejam distribuídos dinheiro de caixas eletrônicos em grandes quantidades até o esvaziamento das máquinas. Outra característica do Ripper é que ele pode se autodestruir, removendo os vestígios de sua atividade no ambiente operacional e dificultando a análise de pós-infecção forense.

Ciclo de infecção do malware ATM

Todos os ataques que envolveram malware ATM demonstraram que é possível ao criminoso, instalar programas arbitrários para esvaziar os caixas eletrônicos o máximo possível. Alguns exemplos destas atividades são: o já mencionado “jackpotting” e o registro de todas as transações de cartões de clientes (virtual skimming).