Ataques remotos em caixas eletrônicos são a nova maneira de operar contra bancos

Segurança

Os especialistas da Kaspersky Lab revelaram os resultados de uma investigação sobre ataques a caixas eletrônicos que não deixavam vestígios. O crime acontecia, mas não havia vestígios de interação física com a máquina, nem malware nos ATM.

O caso que teve o nome de ATMitch, tal como o malware, e começou quando os especialistas forenses do banco recuperaram e compartilharam os únicos arquivos deixados após o ataque no disco rígido do ATM com a empresa de segurança. Os arquivos de log kl.txt e logfile.txt continham malware e acabaram por ser suficientes para a Kaspersky Lab reconstruir o ataque.

Com esses arquivos foi possível identificar informações em texto simples que os ajudaram a criar uma regra YARA para repositórios públicos de malware e a encontrar uma amostra. As regras YARA ajudam os analistas a encontrar, agrupar e categorizar amostras de malware relacionadas e estabelecer conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades. Com esses dados foi possível identificar uma amostra de malware, denominada “tv.dll” ou “ATMitch”, usada uma vez no Cazaquistão e outra na Rússia.

Os especialistas apuraram que o malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo, através da administração remota de máquinas ATM. O ATMitch se comunica com o caixa eletrônico como se fosse um software legítimo e deixa que os criminosos controlem a máquina.

Isso permite que invasores consigam dar instruções ao caixa para dispensar dinheiro a qualquer momento, com o toque de um botão. Após o roubo do dinheiro, o malware exclui seus traços.

Se desconhece quem está por tás desses ataques mas o “tv.dll contém um recurso de idioma russo e os grupos conhecidos que poderiam caber neste perfil são GCMAN e Carbanak.

“Os ataques podem ainda estar ativos. Mas não entre em pânico! Combater esses tipos de ataques requer um conjunto específico de habilidades do especialista em segurança que protege a organização-alvo. O sucesso da violação e exfiltração de dados de uma rede só pode ser realizado com ferramentas comuns e legítimas; após o ataque, os criminosos podem limpar todos os dados que poderiam levar à sua detecção, sem deixar vestígios, nada. Para resolver estes problemas, a memória forense está se tornando crítica para a análise de malware e suas funções. E como o nosso caso prova, uma resposta cuidadosamente dirigida ao incidente pode ajudar a resolver até mesmo o cibercrime mais bem preparado”, disse Sergey Golovanov, Principal Security Researcher at Kaspersky Lab.


Clique para ler a bio do autor  Clique para fechar a bio do autor