Los delincuentes han adquirido el software propietario de Diebold para ganar dinero en cajeros automáticos

Dan Goodin - 20 de julio de 2020 9:40 pm UTC

Diebold Nixdorf, que ganó 3.300 millones de dólares con ventas y servicios de cajeros automáticos el año pasado, está advirtiendo a las tiendas, bancos y otros clientes sobre una nueva forma de "jackpotting" basada en hardware, el término industrial para los ataques que los ladrones utilizan para vaciar rápidamente los cajeros automáticos.

La nueva variación utiliza un dispositivo que ejecuta partes del software propietario de la empresa. Luego, los atacantes conectan el dispositivo a los componentes internos del cajero automático y emiten comandos. Los ataques exitosos pueden generar un flujo de efectivo, que a veces se distribuye tan rápido como 40 billetes cada 23 segundos. Los dispositivos se conectan obteniendo acceso a una llave que desbloquea el chasis del cajero automático, perforando agujeros o rompiendo las cerraduras físicas para acceder a las partes internas de la máquina.

En ataques anteriores de jackpotting, los dispositivos conectados, conocidos en la industria como cajas negras, generalmente invocaban interfaces de programación contenidas en el sistema operativo del cajero automático para canalizar comandos que finalmente llegaban al componente de hardware que dispensa efectivo. Más recientemente, Diebold Nixdorf ha observado una serie de ataques de caja negra que incorporaban partes del software propietario de la empresa.

"Algunos de los ataques exitosos muestran un nuevo Modus Operandi adaptado sobre cómo se realiza el ataque", advirtió Diebold Nixdorf en una alerta de seguridad activa emitida la semana pasada y proporcionada a Ars por un representante de la compañía. "Aunque el estafador todavía está conectando un dispositivo externo, en esta etapa de nuestras investigaciones parece que este dispositivo también contiene partes del software del cajero automático atacado".

El aviso decía en otra parte:

En general, el jackpotting se refiere a una categoría de ataques cuyo objetivo es dispensar dinero en efectivo de un cajero automático de forma ilegítima. La variante de caja negra del jackpotting no utiliza la pila de software del cajero automático para dispensar dinero desde la terminal. En lugar de ello, el defraudador conecta su propio dispositivo, la “caja negra”, al dispensador y dirige la comunicación directamente al dispositivo de manejo de efectivo.

En los incidentes recientes, los atacantes se centran en los sistemas exteriores y destruyen partes de la fascia para obtener acceso físico al compartimento principal. A continuación se desenchufó el cable USB entre el dispensador CMD-V4 y la electrónica especial, o el cable entre la electrónica especial y el PC del cajero automático. Este cable está conectado a la caja negra del atacante para enviar comandos de dispensación ilegítimos.

Algunos incidentes indican que la caja negra contiene partes individuales de la pila de software del cajero automático atacado. La investigación sobre cómo el estafador obtuvo estas piezas está en curso. Una posibilidad podría ser mediante un ataque fuera de línea contra un disco duro no cifrado.

El creciente número de ataques se dirige a los terminales de la línea ProCash de la empresa, en particular al modelo USB ProCash 2050xs. Los ataques en curso están ocurriendo en "ciertos países europeos", decía el aviso.

Bruno Oliveira, experto en seguridad de cajeros automáticos, dijo que había oído hablar de la forma anterior de ataque de caja negra. El dispositivo conectado manipula las API incluidas en extensiones del sistema operativo como XFS o CFS, que se comunican con servidores remotos operados por instituciones financieras. Las cajas negras, que imitan la PC interna de un cajero automático, pueden ser computadoras portátiles o hardware Raspberry o Arduino que es bastante fácil de construir, dijo Oliveira. Las cajas negras son una de las cuatro técnicas de jackpot que Diebold Nixdorf describe aquí.

En algunos casos, los dispositivos conectados se conectan directamente al dispensador de efectivo y emiten comandos para que escupe dinero en efectivo. La otra forma de ataque de caja negra se conecta a cables de red y registra la información del titular de la tarjeta mientras se transmite entre el cajero automático y el centro de transacciones que procesa la sesión. Luego, el dispositivo adjunto cambia los montos máximos de retiro autorizados o se hace pasar por el sistema anfitrión para permitir que el cajero automático dispense grandes sumas de dinero.

El folleto sobre botes vinculado anteriormente describe otros dos tipos de ataques. El primero cambia el disco duro legítimo por uno creado por los atacantes. El otro utiliza ataques de phishing contra empleados bancarios. Una vez que los atacantes obtienen acceso dentro de la red de una institución financiera, emiten comandos que infectan los cajeros automáticos con malware que puede usarse para limpiar las máquinas.

La nueva variante de ataque descrita por Diebold es a la vez una buena y una mala noticia para los consumidores. Por un lado, no hay indicios de que los ladrones estén utilizando su software recientemente adquirido para robar datos de tarjetas. La mala noticia es que los atacantes parecen tener en sus manos software propietario que hace que los ataques sean más efectivos. El reciente aumento de los premios mayores exitosos en última instancia resulta en tarifas más altas, ya que las instituciones financieras trasladan los costos causados ​​por las pérdidas. Diebold ha emitido una variedad de defensas que los propietarios de cajeros automáticos pueden utilizar para protegerse contra los ataques.

Hay poco que los usuarios de cajeros automáticos puedan hacer para evitar el premio mayor. Aún así, es importante utilizar sólo cajeros automáticos que pertenezcan a los principales bancos y evitar los de empresas familiares. También es una buena idea proteger el teclado al ingresar los PIN y verificar los extractos bancarios cada mes en busca de transacciones no autorizadas.