El malware que escupe dinero en cajeros automáticos se ha extendido por todo el mundo

A las 10 de la mañana de finales de noviembre en Friburgo, Alemania, un empleado de un banco notó que algo andaba mal con el cajero automático de un banco.

Había sido pirateado con un malware llamado "Cutlet Maker" que está diseñado para hacer que los cajeros automáticos expulsen todo el dinero que contienen, según un funcionario encargado de hacer cumplir la ley familiarizado con el caso.

"¡Ho-ho-ho! ¡Hagamos unas chuletas hoy!" El panel de control de Cutlet Maker lee, junto con imágenes de dibujos animados de un chef y un trozo de carne alegre. En un aparente juego de palabras ruso, una chuleta no sólo significa un corte de carne, sino también un fajo de dinero en efectivo.

Una investigación conjunta entre Motherboard y la emisora ​​alemana Bayerischer Rundfunk (BR) ha descubierto nuevos detalles sobre una serie de ataques llamados "jackpotting" a cajeros automáticos en Alemania en 2017, en los que los ladrones se llevaron más de un millón de euros. El jackpotting es una técnica en la que los ciberdelincuentes utilizan malware o una pieza de hardware para engañar a un cajero automático para que expulse todo su efectivo, sin necesidad de una tarjeta de crédito robada. Los piratas informáticos suelen instalar el malware en un cajero automático abriendo físicamente un panel de la máquina para revelar un puerto USB.

En algunos casos, hemos identificado el banco y el fabricante de cajeros automáticos afectados. Aunque una organización europea sin fines de lucro dijo que los ataques de jackpotting han disminuido en la región en la primera mitad de este año, múltiples fuentes dijeron que el número de ataques en otras partes del mundo ha aumentado. Las regiones atacadas incluyen Estados Unidos, América Latina y el sudeste asiático, y el problema afecta a los bancos y fabricantes de cajeros automáticos de toda la industria financiera.

"Estados Unidos es bastante popular", dijo una fuente familiarizada con los ataques a cajeros automáticos. Placa base y BR otorgaron anonimato a múltiples fuentes, incluidos funcionarios encargados de hacer cumplir la ley, para hablar con mayor franqueza sobre incidentes sensibles de piratería informática.

Una captura de pantalla del panel de control de Cutlet Maker. Imagen: cuenta de Twitter de @CryptoInsane

*

Durante la conferencia anual de ciberseguridad Black Hat en 2010, el fallecido investigador Barnaby Jack demostró en vivo en el escenario su propia variedad de malware para cajeros automáticos. El público rompió en aplausos cuando el cajero automático mostró la palabra "JACKPOT" y expulsó un flujo constante de billetes.

Ahora, se han desplegado ataques similares en la naturaleza.

En el caso de Friburgo no se robó dinero en efectivo, afirmó el funcionario. Pero Christoph Hebbecker, fiscal del estado alemán de Renania del Norte-Westfalia, dijo que su oficina está investigando 10 incidentes que tuvieron lugar entre febrero y noviembre de 2017, incluidos ataques en los que los ladrones se llevaron fajos de dinero en efectivo. En total, los piratas informáticos robaron 1,4 millones de euros (1,5 millones de dólares), dijo Hebbecker.

Hebbecker añadió que debido a la naturaleza similar de los ataques, cree que todos están vinculados a la misma banda criminal. En algunos casos, los fiscales tienen pruebas en vídeo, pero hasta el momento no tienen sospechosos, agregaron.

"La investigación aún está en curso", dijo Hebbecker en un correo electrónico en alemán.

Múltiples fuentes dijeron que varios de los ataques de 2017 en Alemania afectaron al banco Santander; dos fuentes dijeron que se referían específicamente al modelo de cajero automático Wincor 2000xe, fabricado por el fabricante de cajeros automáticos Diebold Nixdorf.

"En general, no hacemos comentarios sobre casos específicos y únicos", dijo por teléfono Bernd Redecker, director de seguridad corporativa y gestión de fraudes de Diebold Nixdorf. "Sin embargo, por supuesto, nos ocupamos del jackpotting con nuestros clientes y somos conscientes de estos casos". Diebold Nixdorf también ha vendido estos cajeros automáticos en el mercado estadounidense.

Una descripción general del modelo de cajero automático 2000xe. Imagen: Wincor Nixdorf.

Un portavoz de Santander dijo en un comunicado enviado por correo electrónico: "Proteger la información de nuestros clientes y la integridad de nuestra red física es el núcleo de lo que hacemos. Nuestros expertos están involucrados en cada etapa del desarrollo de productos y operaciones para proteger a los clientes y al banco de "Fraude y amenazas cibernéticas. Este enfoque en proteger nuestros datos y operaciones nos impide comentar sobre problemas de seguridad específicos".

Los funcionarios de Berlín dijeron que se habían enfrentado al menos a 36 casos de jackpot desde la primavera de 2018, lo que resultó en el robo de varios miles de euros. Se negaron a nombrar el malware específico utilizado.

Según los portavoces de la policía, en los últimos años las autoridades han registrado en total 82 ataques de jackpotting en Alemania en diferentes estados federados. Sin embargo, no todos esos ataques resultaron en retiros exitosos.

¿Conoce otros ataques de jackpotting? Nos encantaría saber de usted. Utilizando un teléfono o computadora que no sea del trabajo, puede comunicarse con Joseph Cox de forma segura en Signal al +44 20 8133 5190, Wickr en josephcox, chat OTR en [email protected] o correo electrónico a [email protected].

Sin embargo, es importante recordar que el premio mayor en cajeros automáticos no se limita a un solo banco o fabricante de cajeros automáticos. Es probable que los otros ataques hayan afectado a otros bancos además del Santander; esos son simplemente los ataques que identificó nuestra investigación.

"Verá esto en todos los proveedores; no está dedicado a una máquina específica, ni a una marca específica, y definitivamente no está dedicado a una región", dijo Redecker.

Parte del problema de seguridad de los cajeros automáticos es que muchos de ellos son, en esencia, computadoras antiguas con Windows.

"Se trata de máquinas muy antiguas y lentas", afirmó una fuente familiarizada con los ataques a los cajeros automáticos.

Los fabricantes de cajeros automáticos han mejorado la seguridad de sus dispositivos, destacó Redecker de Diebold Nixdorf. Pero eso no significa necesariamente que todos los cajeros automáticos de la industria cumplan con el mismo estándar.

Y la responsabilidad de garantizar el acceso a los cajeros automáticos también recae en los bancos.

"Para ejecutar un ataque de jackpotting, es necesario tener acceso a los componentes internos del cajero automático. Por lo tanto, prevenir ese primer ataque físico al cajero automático contribuye en gran medida a prevenir el ataque de jackpotting", David N. Tente, director ejecutivo de EE. UU., Canadá y América en la Asociación de la Industria de Cajeros Automáticos (ATMIA), dijo en un correo electrónico.

Redecker dijo que ha estado viendo ataques en todo el mundo desde 2012, y Alemania sufrió sus primeros ataques de jackpotting en Berlín en 2014.

Alrededor de la época de los ataques de 2017, investigadores de la firma de ciberseguridad Kaspersky publicaron una investigación que mostraba que Cutlet Maker estaba a la venta en foros de piratería desde mayo de ese año. Parecía que cualquiera con unos pocos miles de dólares podía comprar el malware e intentar ganar dinero en los cajeros automáticos.

"Los malos están vendiendo estos desarrollos [malware] a cualquiera", dijo David Sancho, investigador senior de amenazas en la firma de ciberseguridad Trend Micro, y que trabaja con Europol en la investigación de jackpotting. Eso ha permitido que grupos más pequeños o delincuentes emprendedores comiencen a atacar los cajeros automáticos, añadió.

"Esto puede afectar potencialmente a cualquier país del mundo", afirmó Sancho.

Placa base habló con un ciberdelincuente que afirmaba vender el malware Cutlet Maker.

"Sí, lo estoy vendiendo. Cuesta $1000", escribieron en un correo electrónico, y agregaron que también pueden ofrecer asistencia sobre cómo usar la herramienta. El vendedor proporcionó capturas de pantalla de un manual de instrucciones en ruso e inglés, que explica a los usuarios potenciales cómo vaciar un cajero automático. Las secciones del manual incluyen cómo comprobar cuántos billetes hay dentro del cajero automático y cómo instalar el malware.

La Asociación Europea para Transacciones Seguras (EAST), una organización sin fines de lucro que rastrea el fraude financiero, dijo en un informe publicado este mes que los ataques de jackpotting disminuyeron un 43 por ciento respecto al año anterior. Pero vale la pena subrayar que el informe de EAST sólo cubre Europa. "Sucede en partes del mundo donde no tienen que contárselo a nadie", añadió la fuente familiarizada con los ataques a cajeros automáticos. "Está aumentando, pero, nuevamente, el mayor problema que tenemos es que nadie quiere informar esto".

Podría decirse que esa reducción de la barrera de entrada al malware en cajeros automáticos ha provocado parte del aumento en los ataques de jackpotting. En enero de 2018, el Servicio Secreto comenzó a advertir a las instituciones financieras sobre los primeros ataques de jackpotting en los EE. UU., aunque utilizaron otro malware para cajeros automáticos llamado Ploutus.D.

"A nivel mundial, nuestra encuesta de 2019 indica que los ataques de jackpotting están aumentando", escribió Tente de ATMIA en un correo electrónico.

Como dijo la fuente familiarizada con los ataques a cajeros automáticos: "Se están produciendo ataques, pero muchas veces no se publicitan".

Suscríbete a nuestro nuevo podcast de ciberseguridad, CYBER.

Al registrarse, acepta los Términos de uso y la Política de privacidad y recibir comunicaciones electrónicas de Vice Media Group, que pueden incluir promociones de marketing, anuncios y contenido patrocinado.