Cutlet Maker, nuevo kit para cibercriminales aficionados de malware para cajeros automáticos
Los cajeros automáticos, ATMs, siguen siendo muy lucrativos para los criminales. Para hacerse con su botín cuentan con varios métodos.
Algunos de esos métodos son altamente destructivos, pues consisten en la utilización de herramientas o incluso en el uso de explosivos para destriparlos. Pero otros criminales, quizás un poco más sofisticados, prefieren infectar los cajeros con malware, lo que les facilita la manipulación del efectivo desde el interior. Aunque las herramientas maliciosas llevan tiempo en circulación, los últimos descubrimientos revelan que los creadores de malware están invirtiendo cantidad de recursos en hacer que sus “productos” puedan estar al alcance de otros criminales menos familiarizados con la informática.
A principios de este año, un partner de Kaspersky Lab les hizo llegar un ejemplo de malware hasta ese momento desconocido y que, presumiblemente se había elaborado con la intención de infectar los PCs que se utilizan para que los cajeros puedan realizar su función. Los analistas se mostraron interesados en averiguar si este malware, o algo relacionado con él, se podía encontrar a la venta en el submundo ilegal. La búsqueda que tuvo lugar a continuación resultó todo un éxito. Se encontró en AlphaBay, un lugar muy popular de la darkweb, un anuncio que describía un tipo de malware para ATM y que coincidía con el elemento buscado. El anuncio revelaba que el ejemplo inicial pertenecía a un kit de malware comercial creado para hacerse con el gran premio de los ATMs. Un mensaje público del vendedor del malware, encontrado también por los analistas, contenía no sólo la descripción del malware y las instrucciones de cómo conseguirlo, sino que también ofrecía toda una guía detallada de cómo debía utilizarse el kit para realizar ataques, con instrucciones y hasta tutoriales en vídeo.
Según los resultados de la investigación, se vio que el conjunto del malware estaba formado por tres elementos:
Software Cutlet Maker, que sirve como modulo principal responsable de la comunicación con el dispensador de efectivo del ATM.
Programa c0decalc, diseñado para generar contraseñas y hacer que funcione la aplicación Cutlet Maker, así como protegerla frente a un uso no autorizado.
Aplicación Stimulator, que permite ahorrar tiempo a los criminales gracias a la identificación de la situación de los cofres o contenedores de efectivo de los ATM. Al instalar esta aplicación, un intruso recibe la información exacta de la moneda, valor y número de billetes que hay en cada caja o cofre, de forma que pueden seleccionar aquel que contiene una mayor cantidad, en lugar de extraer el efectivo de uno u otro sin saber cuál es la situación de cada contenedor.
Para empezar a robar, los criminales necesitan tener acceso directo al interior de los cajeros y así poder conectar un dispositivo USB que contenga el software. Como primer paso, los criminales instalan Cutlet Maker. Como existe una contraseña protegida, utilizan el programa cOdecalc instalado en otro dispositivo, como un portátil o una tablet. Esta contraseña es un tipo de protección de derechos de autor, instalada por los autores de Cutlet Maker para prevenir que otros criminales lo utilicen gratuitamente. Después de que el código se genere, los criminales lo introducen en el interfaz de Cutlet Maker y así empezar con el proceso de extracción de fondos.
Cutlet Maker está en el mercado desde el 27 de marzo de 2017, aunque los analistas ya habían empezado a seguirlo en junio de 2016. En ese momento había sido identificado en un servicio público multiescáner de Ucrania, pero posteriormente llegaron nuevos ejemplos desde otros países. No se sabe si el malware había sido previamente utilizado en ataques descontrolados, sin embargo, las instrucciones que se incluían en el kit del malware contenían vídeos que fueron presentados por sus autores como pruebas reales de su eficiencia.
No se sabe quién se encuentra detrás de este malware. Sobre los potenciales vendedores del kit, el idioma, la gramática y los errores de estilo, apuntan a que son personas cuyo idioma nativo no es el inglés.
“Cutlet Maker no requiere que el criminal tenga un conocimiento técnico informático avanzado ni profesional, lo que permite que el hackeo de un ATM pase de ser una operación ofensiva sofisticada a otro modo ilegal más de robar dinero, y al alcance de prácticamente todo el mundo que tenga unos pocos miles de dólares para comprar el malware. Estamos ante una amenaza potencialmente muy peligrosa para las entidades financieras. Pero lo que es más importante es que, mientras opera, Cutlet Maker interactúa libremente con el software y el hardware del ATM, sin hallar ningún elemento de seguridad que lo impida. Estamos ante algo que debe ser cambiado si queremos proteger adecuadamente las máquinas ATM”, comenta Konstantin Zykov, analista de seguridad de Kaspersky Lab.
Para proteger a los cajeros automáticos ante ataques en los que se utilicen herramientas maliciosas como Cutlet Maker, así como para dotarles de una seguridad física más alta, los especialistas de Kaspersky Lab recomiendan a los equipos de seguridad de las organizaciones, que procedan de la siguiente forma:
• Implementar por defecto una política muy estricta de denegación, impidiendo así que cualquier software no autorizado pueda trabajar en el cajero automático.
• Permitir mecanismos de control de dispositivos que restrinjan la conexión al ATM de cualquier dispositivo no autorizado.
• Utilizar una solución específica de seguridad que proteja los ATM de ataques como los del malware Cutlet Maker.
