Analistas de Kaspersky revelan que la reactivación de antiguos hábitos de consumo ha provocado un incremento en la actividad de los delincuentes.
En 2020, el número de ataques a cajeros automáticos y terminales de punto de venta (TPV) disminuyó significativamente debido a la pandemia. Ahora, con la reactivación de antiguos hábitos de consumo, la actividad de los delincuentes ha aumentado. Algunas de las familias de malware que más se han propagado a lo largo de 2022 son HydraPoS y AbaddonPoS, representando aproximadamente el 71% de las detecciones de amenazas. En el caso de los cajeros automáticos, el malware más activo es Ploutus, que representa el 3% de todas las detecciones en los primeros ocho meses del año. Estas y otras conclusiones forman parte del nuevo informe sobre el malware para cajeros automáticos y TPV publicado por Kaspersky.
Los ciberdelincuentes atacan los sistemas integrados utilizados en cajeros automáticos y terminales de punto de venta para robar dinero en efectivo, credenciales de tarjetas de crédito y datos personales. Penetran en los sistemas para controlar los dispositivos de una red, y así obtener miles de dólares de la noche a la mañana. Muchas de las versiones de Windows utilizadas en los cajeros automáticos finalizaron su vida útil hace tiempo y pueden ser un objetivo fácil, mientras que las terminales de punto de venta son utilizadas, en gran parte, por empresas con un bajo nivel de madurez en materia de ciberseguridad.
Cuando llegó la pandemia, el número de ataques se redujo drásticamente en comparación con el año anterior: de aproximadamente 8,000 en 2019 a 5,000 en 2020. Según la evaluación de los expertos, esto sucedió por varias razones: la reducción del número total de cajeros automáticos en todo el mundo, su cierre durante las restricciones de salud, así como la reducción del gasto de las personas en general. Como consecuencia, los atacantes vieron cómo su mercado disminuía en cuanto al número de sus objetivos.
Actualmente, tras el levantamiento de algunas restricciones sanitarias, los antiguos patrones de consumo han vuelto y, por tanto, la actividad de los actores de las amenazas se está acelerando. En 2021, el número de dispositivos encontrados con malware para cajeros automáticos y terminales de punto de venta aumentó un 39% en comparación con el año anterior. En los primeros ocho meses de 2022, el número creció un 19% respecto al mismo periodo de 2020, y casi un 4% respecto a 2021. En total, 4,173 dispositivos fueron atacados entre enero y agosto de 2022.
Dada esta tendencia, los expertos esperan que el número de ataques a los dispositivos ATM/PoS aumente aún más en el cuarto trimestre de 2022.
El malware para TPVs es el más extendido
HydraPoS y AbaddonPoS representan aproximadamente el 71% de todas las detecciones de malware para cajeros y TPV en 2020-2022, con un 36% y un 35%, respectivamente. El líder de la clasificación, HydraPoS, es originario de Brasil y es conocido por clonar tarjetas de crédito. Según los informes del Portal de Inteligencia de Amenazas de Kaspersky, esta misma familia fue utilizada en ataques que involucran ingeniería social.
"Hay diferentes técnicas, depende de quién realice el ataque y la familia que se utilice. Los atacantes hacen llamadas telefónicas o incluso acuden a las oficinas de las víctimas. Se hacen pasar por un empleado de un banco o de una compañía de tarjetas de crédito e intentan convencer a la víctima de que instale el malware como si fuera una actualización del sistema", comenta Fabio Assolini, jefe del Centro de Análisis de América Latina de Kaspersky.
El TOP-5 también incluye a Ploutus (3%), la familia de malware utilizada para modificar el software legítimo y obtener los privilegios administrativos para controlar los cajeros automáticos. RawPoS (el malware capaz de extraer la totalidad de los datos de la banda magnética de la memoria volátil) y Prilex (el malware que abusa de los procesos relacionados con el software PoS y las transacciones de las tarjetas de crédito y débito), representan el 2% de cada uno. Las otras 61 familias y modificaciones analizadas representan menos del 2% por cada una.
"El malware de los TPVs ha tenido mayor expansión que el de los cajeros automáticos porque permite un acceso bastante fácil al dinero. Si los cajeros automáticos suelen estar bien protegidos, los propietarios de cafeterías, restaurantes y tiendas a menudo ni siquiera piensan en la ciberseguridad de sus terminales de pago. Esto los convierte en un objetivo para los atacantes. Además, surgen nuevos modelos de negocio delictivos, como el malware de servicio, que reducen el nivel de conocimientos de las posibles amenazas", explica Fabio Assolini.
Para leer el informe completo sobre el malware en cajeros y terminales, visita Securelist.lat.
Para mantener la seguridad de los sistemas y datos integrados, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:
- Utilizar una solución multicapa que proporcione el mejor nivel de seguridad posible para dispositivos de distinta potencia y con diferentes escenarios de implantación.
- Implantar técnicas de autoprotección en los módulos PoS, como la protección disponible en nuestro SDK de Kaspersky, con el objetivo de evitar que el código malicioso altere las transacciones gestionadas por dichos módulos.
- Proteger los sistemas más antiguos con una solución actualizada. Las soluciones deben estar optimizadas para funcionar en versiones nuevas y antiguas de Windows. Esto permite a la empresa estar segura de que se le proporcionará soporte total para las familias más antiguas en un futuro previsible, y tener la oportunidad de actualizar en cualquier momento que sea necesario.
- Instalar una solución de seguridad que proteja los dispositivos de diferentes vectores de ataque, como Kaspersky Embedded Systems Security. Si el dispositivo tiene especificaciones del sistema extremadamente bajas, la solución de Kaspersky seguirá protegiéndolo con un escenario de Denegación por defecto.
- Para las instituciones financieras que son víctimas de este tipo de fraude, Kaspersky recomienda el Motor de Atribución de Amenazas para ayudar a los equipos de IR a encontrar y detectar las amenazas de los cajeros automáticos y los TPV en los entornos atacados.
- Proporcionar a su equipo acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto de acceso único para la TI de la empresa, que proporciona datos sobre ciberataques y perspectivas recopiladas por la compañía durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos turbulentos, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso. Solicita el acceso aquí.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 240,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com
