O Serviço Secreto dos Estados Unidos emitiu um aviso na sexta-feira para instituições financeiras, citando “informações credíveis” sobre ataques “planejados” contra caixas eletrônicos (ATM) dos EUA usando malwares que podem rapidamente drenar dinheiro dos caixas eletrônicos. O aviso ocorreu um dia após a Diebold Nixdorf, fabricante de terminais bancários de autoatendimento, ter alertado seus clientes de “potenciais” ataques de Jackpotting se deslocando do México para os EUA.
Mas o jornalista Brian Krebs, que administra o site KrebsOnSecurity, informa que os ataques baseados nos EUA já começaram. Krebs cita fontes no fabricante de ATM NCR Corp que dizem que um número não divulgado de ataques Jackpotting (também conhecidos como ataques lógicos) já atingiu a Costa dos EUA.
“Enquanto no momento estes aparecem focados em caixas eletrônicos ‘não-NCR’, os ataques lógicos são um problema de todo o setor. Isso representa os primeiros casos confirmados de perdas devido a ataques lógicos nos EUA”, de acordo com o aviso da fabricante NCR, citado por Krebs.
Enquanto o Serviço Secreto dos EUA é pouco claro sobre a natureza dos ataques em caixas eletrônicos, as fontes da Krebs dentro dessa agência afirmam que os ataques recentes incluem o uso do malware Ploutus.D nos ataques Jackpotting.
“A fonte disse que o Serviço Secreto está alertando que os criminosos parecem estar focando nos caixas eletrônicos Opteva séries 500 e 700 Dielbold usando o malware Ploutus.D em uma série de ataques coordenados nos últimos 10 dias, e que há evidências de que novos ataques estão sendo planejados em todo o país”, de acordo com o relatório da Krebs.
Diebold e NCR não retornaram de forma imediata os pedidos de comentários para esta notícia.
O Serviço Secreto disse, através de sua assessoria, que os atores das ameaças visam a maioria dos caixas eletrônicos autônomos. “Os caixas eletrônicos são frequentemente localizados em farmácias, grandes varejistas e ATMs em drive-thru. Os criminosos variam de suspeitos individuais a grandes grupos organizados, de criminosos locais a grupos internacionais do crime organizado”, disse o Serviço Secreto.
A agência credenciou a U.S. Electronic Crimes Task Force para identificar as ameaças “credíveis”. “Posteriormente, alertamos outros parceiros de aplicação da lei e instituições financeiras que poderiam ser impactadas por este crime”, afirmou.
Ataques em caixas eletrônicos nos EUA, até agora, não foram relatados. Os ataques anteriores atingiram caixas eletrônicos no México, Japão, Tailândia e Europa. O malware com capacidade de Jackpotting usado nesses ataques variou de Ploutus, Prilex, Green Dispenser e Ice5.
No caso do Ploutus, o malware está em cena desde 2013. Em outubro de 2017, o malware representou 64 milhões de dólares em perdas, de acordo com um artigo apresentado no Virus Bulletin por Thiago Marques, pesquisador da Kaspersky Lab.
O Ploutus requer acesso físico através de um USB ou CD para implantar o malware, a fim de roubar o ATM ID usado para ativar e identificar um ATM antes de “cuspir o dinheiro”, de acordo com Marques.
No caso dos ataques mais recentes, a Krebs informa que uma fonte no Serviço Secreto disse que os atacantes estavam usando equipamentos médicos, como um endoscópio para navegar no interior do caixa eletrônico com o intuito de interceptar a porta de comunicação do dispenser da máquina, sincronizar com o computador do ATM e, em seguida, iniciar a infecção do malware.
“Neste ponto, o criminoso que instala o malware entrará em contato com co-conspirators que podem controlar remotamente os caixas eletrônicos e forçar as máquinas a dispensarem o dinheiro”, de acordo com a Krebs.
Após infectar, um atacante remoto pode instruir o caixa eletrônico a distribuir milhares de dólares de dinheiro em apenas alguns minutos, de acordo com um relatório da FireEye de janeiro de 2017 sobre Jackpotting.
Os pesquisadores da FireEye observaram que o Ploutus-D costuma atacar o equipamento ATM da Diebold, que administra a plataforma Kalignite de vários fornecedores. “As amostras que identificamos visam o fornecedor de ATM Diebold. No entanto, uma mudança mínima no código do Ploutus-D expandiria e muito seus destinos de fornecedores de ATM, uma vez que a Kalignite Platform é executada em 40 fornecedores de ATM diferentes em 80 países”, disseram os pesquisadores.
“O que é interessante sobre esses ataques é que eles exigem um acesso físico considerável no ATM em si, o que significa que existe um alto risco de ser pego, e há vetores de ataque bem menos complexos que poderiam ter sido escolhidos”, disse Leigh-Anne Galloway, líder cybersecurity resilience na Positive Technologies.
A Krebs informa que o Serviço Secreto está alertando as instituições financeiras de que os caixas eletrônicos que ainda executam o Windows XP são vulneráveis aos ataques.
Os assaltos anteriores a ATMs usaram diferentes tipos de malware. Em agosto de 2016, a família de malware conhecida como RIPPER foi responsabilizada por um surgimento de roubos em ATMs na Tailândia. Os atacantes são capazes de penetrar em caixas eletrônicos direcionados com um cartão eletrônico habilitado para chip EMV (EuroPay, MasterCard e Visa) especialmente criado. O cartão serve como um mecanismo de autenticação que interage com o malware RIPPER que já existe no ATM. Na ocasião, bandidos neste incidente fugiram com $378,000.
“Temos visto um grande aumento nos ataques lógicos ao longo dos últimos anos e esta é certamente uma das mais recentes. Os caixas eletrônicos ainda são um elo crítico nas comunidades, proporcionando acesso a serviços bancários para muitas pessoas que talvez nunca visitam uma filial em si”, disse Galloway.
EXTRA: Não deixe de conferir
.
.
Publicado originalmente no ThreatPost em 29 de janeiro de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: Freepik
.