Servidores bancarios pirateados engañan a los cajeros automáticos para escupir millones en efectivo

Servidores bancarios pirateados engañan a los cajeros automáticos para escupir millones en efectivo
Robo cajero automático
Modificado por última vez en Miércoles, 03 Octubre 2018 22:35
(0 votos)

FASTCash se cree que está creado por los piratas Hidden Cobra de Corea del Norte

El US-CERT ha emitido una alerta técnica conjunta del DHS, el FBI y una advertencia del Tesoro estadounidense sobre un nuevo esquema de cajeros automáticos utilizado por el prolífico grupo de piratería APT de Corea del Norte conocido como Hidden Cobra.

Se cree que Hidden Cobra, también conocido como Lazarus Group y Guardians of Peace, está respaldado por el gobierno norcoreano y ha lanzado ataques en todo el mundo contra varias organizaciones de medios de comunicación, aeroespaciales, financieras y sectores de infraestructura crítica.

El grupo también se había asociado con la amenaza de ransomware WannaCry que el año pasado cerró hospitales y grandes empresas en todo el mundo, el ataque SWIFT a la Banca en 2016 y el hack de Sony Pictures en 2014.

Ahora, el FBI, el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro han dado a conocer detalles sobre un nuevo ataque cibernético, denominado "FASTCash", que Hidden Cobra ha estado usando desde al menos 2016 para retirar dinero de los cajeros automáticos comprometiendo el servidor del banco.

FASTCash piratea los cajeros automáticos para escupir efectivo

Los investigadores analizaron 10 muestras de malware asociadas con los ciberataques de FASTCash y encontraron que los atacantes comprometen de forma remota los "servidores de aplicaciones de conmutación" dentro de los bancos seleccionados para facilitar las transacciones fraudulentas.

El servidor de aplicaciones de Switch es un componente esencial de los cajeros automáticos y las infraestructuras de puntos de venta que se comunican con el sistema bancario central para validar los detalles de la cuenta bancaria del usuario para una transacción solicitada.

FASTCash

Siempre que se use una tarjeta de pago en un cajero automático o en una máquina de punto de venta en una tienda minorista, el software solicita (en formatos de mensajes ISO 8583) el servidor de aplicaciones de cambio del banco para validar la transacción: acepte o rechace, dependiendo de la cantidad disponible en la cuenta del banco.

Sin embargo, los atacantes de Hidden Cobra lograron comprometer el switch de los servidores de aplicaciones en diferentes bancos, donde tenían cuentas (y sus tarjetas de pago) con una actividad mínima o cero saldo.

El malware instalado en los servidores de aplicaciones de conmutación comprometidos luego intercepta la solicitud de transacción asociada con las tarjetas de pago de los atacantes y responde con una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros automáticos para que escupan una gran cantidad de efectivo sin siquiera notificar al banco.

"Según la estimación de un socio de confianza, los actores de HIDDEN COBRA han robado decenas de millones de dólares", dice el informe.

"En un incidente en 2017, los actores de HIDDEN COBRA permitieron que el efectivo se retirara simultáneamente de los cajeros automáticos ubicados en más de 30 países diferentes. En otro incidente en 2018, los actores de HIDDEN COBRA permitieron que el dinero fuera retirado de los cajeros automáticos en 23 países diferentes".

Los actores de amenazas Hidden Cobra están utilizando el esquema FASTCash para atacar a los bancos en África y Asia, aunque las autoridades de los Estados Unidos todavía están investigando los incidentes de FASTCash para confirmar si el ataque se dirige a los bancos en los Estados Unidos.

Cómo lograron los atacantes comprometer los servidores de las aplicaciones de cambio

esquema FASTCash

Aunque es desconocido el vector de infección inicial utilizado para comprometer las redes del Banco, las autoridades de los EE. UU. creen que los actores de la amenaza APT utilizaron correos electrónicos de phishing con código malicioso ejecutable de Windows contra empleados de diferentes bancos.

Una vez abiertos, las computadoras de los empleados del banco infectado ejecutables con malware basado en Windows, permiten a los piratas informáticos moverse lateralmente a través de la red de un banco usando credenciales legítimas e implementar malware en el servidor de aplicaciones de cambio de pago.

Aunque la mayoría de los servidores de aplicaciones de conmutación comprometidos se encontraban ejecutando versiones del sistema operativo IBM Advanced Interactive eXecutive (AIX) no admitidas, los investigadores no encontraron pruebas de que los atacantes aprovecharan alguna vulnerabilidad en el sistema operativo AIX.

US-CERT recomendó a los bancos que hicieran obligatoria la autenticación de dos factores antes de que cualquier usuario pueda acceder al servidor de aplicaciones de cambio y usar las mejores prácticas para proteger sus redes.

US-CERT también ha proporcionado una copia descargable de IOCs (indicadores de compromiso), para ayudar a bloquearlos y permitir que las defensas de la red reduzcan la exposición a cualquier actividad cibernética maliciosa por parte del grupo de pirateo Hidden Cobra.

En mayo de 2018, el US-CERT también publicó un aviso de alerta para los usuarios de dos diferentes programas maliciosos: el troyano de acceso remoto (RAT) conocido como Joanap y el gusano de bloqueo de mensajes del servidor (SMB) llamado Brambul, vinculado a Hidden Cobra.

El año pasado, el DHS y el FBI también emitieron una alerta que describía el malware Delta Charlie de Hidden Cobra, una herramienta DDoS que creían que Corea del Norte usa para lanzar ataques distribuidos de denegación de servicio contra sus objetivos.

En el pasado, otro malware vinculado a Hidden Cobra incluye Destover, Wild Positron o Duuzer y Hangman con sofisticadas capacidades, como bonets DDoS, registradores de teclado, herramientas de acceso remoto (RAT) y malware limpiador.


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación
close

Recibe gratis nuestros nuevos artículos!

Serás el primero en conocer las novedades y noticias que pasan en Internet, nuestros tutoriales, trucos y más.

Escribe tu email:

Se abrirá una nueva ventana deFeedBurner a la izquierda de la página y habrás de validar un Captcha.

Lee nuestras Política de privacidad & Política de cookies
Puedes darte de baja de la lista de correo electrónico en cualquier momento