MADRID – El robo de dinero de cajeros automáticos no es ninguna novedad en Latinoamérica, donde los criminales están cada vez más conectados con los hackers para encontrar la manera más eficiente de hacerlo.
Sí, es común escuchar sobre robos en Brasil, México, Colombia, Perú y cualquier otro lugar donde se hayan visto involucrados explosivos y cajeros automáticos totalmente destruidos. De hecho, los investigadores de Kaspersky Lab, Fabio Assolini y Thiago Marques mostraron un par de videos de vigilancia durante una conferencia Virus Bulletin el pasado jueves, donde se veían criminales vandalizando máquinas, destruyéndolas con dinamitas y dejando atrás algo más que un ATM carbonizado.
Pero algo está cambiando.
Haz un pequeño tour por algunos foros, y lo más seguro es que te encuentres publicaciones sobre criminales latinoamericanos solicitando ayuda. Posts escritos en portugués y español en foros rusos y de Europa del Este buscando una respuesta sobre malware para ATMs, e incluso manuales para aprender sobre el funcionamiento interno de los cajeros.
“Los hackers de Europa del Este lideran el camino de la creación de malware para ATMs, seguidos por los hackers latinoamericanos”, dijo Assolini.
Los investigadores también dijeron que estos criminales están invirtiendo en, o aprendiendo a crear malware para ATM, desde cero. En ocasiones logran penetrar redes de bancos para conducir ataques remotos, pero es muy común que este tipo de ataques requieran acceso físico a un ATM. Esto significa descargar malware desde un USB, o un CD (en cajeros antiguos) o conectar un teclado por el puerto USB para acceder al back-end de una de estas máquinas, explicaron Assolini y Marques.
Una vez que acceden, los criminales pueden dictar cuánto dinero quieren sacar de las máquinas, y esto no les lleva mucho tiempo.
“Quieren robar los ATM´s de una forma rápida después de infectar la máquina o la red”, dijo Assolini, señalando que los criminales quieren una salida rápida para evitar ser detectados.
En un artículo publicado después de la conferencia, Assolini y Marques escribieron sobre las largas relaciones de negocios entre los cibercriminales de Europa del Este y Latinoamérica, especialmente por la clonación de tarjetas de crédito. Mientras tanto el malware de ATMs, empezó en 2008 con Skimmer, que era capaz de robar dinero o datos de tarjetas utilizadas en cajeros. Kaspersky también publicó informes sobre el malware de ATMs Typkin en 2014, y un año después publicó otro informe con evidencia de la cooperación entre criminales latinoamericanos y grupos de Europa del este detrás de los troyanos bancarios Zeus y SpyEye.
“Los hechos demuestran que los cibercriminales latinoamericanos están adoptando nuevas técnicas como resultados de su colaboración con Europa del este”, escribieron en Virus Bulletin. “Creemos que esta es solo la punta del iceberg, ya que este tipo de intercambios tienden a incrementar a través de los años mientras el crimen se desarrolla y los criminales buscan formas de atacar negocios e individuos”.
Los investigadores también hablaron sobre las cuatro familias de malware prevalentes entre los hackers de cajeros automáticos: Ploutus, Prilex, Green Dispenser y Ice5.
Ploutus, ha estado presente desde el 2013, infectando principalmente máquinas en México, y ha alcanzado hasta los $64 millones de dólares en pérdidas, dijo Marques. Ploutus requiere acceso físico vía USB o CD para lanzar el malware y robar el ID de ATM utilizado para activar e identificar el cajero antes de extraer dinero. Una variante del malware ahora interactua con una plataforma popular de ATM llamada Kalignite, que se ejecuta en una gran cantidad de máquinas hechas por diferentes proveedores, incluyendo Diebold.
Una vez que el atacante se contecta a la máquina a través de un teclado, estos pueden usar el malware para generar un código de activación y acceder a los fondos almacenados dentro de esta. Marques dijo que los atacantes no se averguenzan de su trabajo, incluso dejan mensajes en códigos como “Ploutus: Hecho en Latinoamérica”.
Ice5 y Prilex son más exclusivos para Brasil, y fueron desarrollados en el país. El objetivo de Ice5 son los ATMs fabricados por NCR, a diferencia de Prilex, que era un poco más complejo e interactuaba con librerías de proveedores específicos, indicando que se necesita un conocimiento específico sobre el ATM y la red relacionada a este.
Los investigadores informaron que, “Una vez que el malware se está ejecutando, tiene la capacidad de expender dinero utilizando una ventana especial activada con una clave de combinación especial proporcionada a las mulas, por los criminales”. Añadiendo también que el malware incluye un componente que roba los datos de la banda magnética de las tarjetas, permitiéndoles recolectarlas después.