Vacian cajeros automáticos de todo el mundo con el malware Tyupkin
Bautizado por investigadores de Kaspersky Lab como Tyupkin, el malware permite a los cibercriminales tomar el control de cajeros automáticos para luego vaciarlos por manipulación directa. La Interpol ha informado a las entidades afectadas por el malware, que ha sido detectado en Europa, América Latina y Asia.
A petición de una entidad financiera, los expertos de Kaspersky Lab han llevado a cabo una investigación forense de ataques cibernéticos dirigidos a múltiples cajeros automáticos de todo el mundo. Durante el curso de esta investigación, los investigadores de la compañía descubrieron un malware que infecta a los cajeros automáticos, permitiendo a los atacantes el robo de millones de dólares a través de la manipulación directa.
Los delincuentes trabajan en dos etapas. En primer lugar, acceden físicamente a los cajeros automáticos e insertan un CD de arranque para instalar el malware, bautizado por Kaspersky Lab con el nombre Tyupkin. Después de reiniciar el sistema, el cajero automático infectado se encuentra bajo su control. Después de la infección, el malware se ejecuta en un bucle infinito, a la espera de un comando. Para hacer la estafa más difícil de detectar, el malware Tyupkin sólo acepta comandos en momentos concretos en domingo y lunes por la noche. Durante esas horas los atacantes son capaces de robar el dinero de la máquina infectada.
Un vídeo obtenido de las cámaras de seguridad de los cajeros automáticos infectados muestra la metodología utilizada para acceder al dinero de las máquinas. Una combinación de números basada en números aleatorios es generada para cada sesión, lo que garantiza que ninguna persona fuera de la banda pueda beneficiarse accidentalmente del fraude. Entonces el operador malicioso recibe instrucciones por teléfono de otro miembro de la banda que conoce el algoritmo y es capaz de generar una clave de sesión basada en el número que se muestra, lo que asegura que las mulas que recogen el dinero en efectivo no traten de ir por libre. Cuando la clave se introduce correctamente, el cajero muestra la cantidad de dinero que está disponible en cada cartucho de efectivo, y, posteriormente, dispensa 40 billetes del cartucho elegido.
Hasta ahora, el malware Tyupkin se ha detectado en cajeros automáticos de América Latina, Europa y Asia. La Interpol ya ha alertado a las entidades afectadas y está ayudando en las investigaciones.
"En los últimos años, hemos observado un repunte de los ataques a cajeros automáticos utilizando dispositivos de skimming y software malicioso. Ahora estamos viendo la evolución natural de esta amenaza con ciberdelincuentes atacando directamente a las entidades financieras. Esto se hace mediante la infección directa de cajeros automáticos o lanzando ataques contra de los bancos al estilo de APT. El malware Tyupkin es un ejemplo de cómo los atacantes se aprovechan de las debilidades en la infraestructura ATM", explica Vicente Díaz, investigador principal de seguridad del equipo de análisis e investigación global de Kaspersky Lab. "Aconsejamos encarecidamente a los bancos que revisen la seguridad física de sus cajeros automáticos y la infraestructura de red, y consideren invertir en soluciones de seguridad de calidad".
