La compañía de seguridad en internet Kaspersky Lab dio a conocer ayer que el malware conocido como Plotus viola la seguridad de los cajeros automáticos (ATM) de varias compañías en el país.
El pasado 27 de septiembre, la empresa SafenSoft hizo la primera
llamada de alerta. Un código malicioso estaba afectando varios cajeros
automáticos (ATM) en México, extrayendo miles de pesos de forma no
autorizada. Ayer se dio a conocer toda la historia.
El malware, conocido como Plotus, violaba la seguridad de
los dispensadores de efectivo, mediante un panel de control que permitía
definir la cantidad de dinero y las denominaciones a extraer cuando un
usuario entraba a usar un servicio bancario.
De acuerdo a SpiderLabs, este malware incluye varias
peculiaridades, entre ellas que requiere de un código de activación para
funcionar, y al momento de la infección se conecta al teclado del
cajero para leer información, y si detecta cierta combinación de teclas,
aparece un panel de control que aparentemente se opera de forma táctil.
“Un elemento interesante de este panel es que las opciones aparecen
en idioma español, por lo que se piensa que el programa se desarrolló en
la región. Por temas de confidencialidad no se puede señalar que bancos
fueron afectados, pero se sospecha que éste fue desarrollado teniendo
el suficiente conocimiento del funcionamiento de estos sistemas”, dio a
conocer a Excélsior Roberto Martínez, CEO de Kaspersky Lab en México.
Infiltrados
Según las investigaciones, el vector de infección del sistema fue un
CD-ROM, por lo que se requirió de acceso físico al equipo para poder
afectarlo con el malware.
Pablo Ruiz Galindo, director general de la compañía Proac, que presta
el servicio de cajeros automáticos (ATM) a bancos en México y uno de
los afectados, dio a conocer ayer en entrevista con Excélsior que fueron
dos las marcas principalmente las afectadas por hackers, a quienes se les robaron varios miles de pesos.
“Por confidencialidad no podemos especificar el monto perdido. Lo que
si es que los usuarios no fueron afectados, este fue un robo
directamente a los cajeros. Una vez colocado el malware, los
criminales ordeñaban la máquina a través de un dispositivo móvil.
Nosotros trabajamos rápidamente en un parche de seguridad, por lo cual
sólo un cajero fue afectado. La información que tenemos es que a otras
compañías les robaron de hasta 50 cajeros”, dijo Ruiz Galindo.
De Venezuela para México
Aseguró que una parte de la banda de delincuentes cibernéticos ya fue
capturada y encerrada en el Reclusorio Oriente, y reveló que son de
nacionalidad venezolana.
Según datos de empresas de seguridad, hubo tres marcas afectadas en el robo de los cajeros por parte de los hackers: NCR, Wincor y Proac.
“Se piensa que esta es una tendencia que puede ir en crecimiento, debido a que desde 2009 ya se habían detectado muestras de malware
que estaban diseñadas específicamente para atacar puntos de venta o más
recientemente cajeros automáticos en Estados Unidos”, añadió Roberto
Martínez, cuestionado sobre lo que puede ocurrir en los próximos meses.
Agregó que ésta es una muestra en particular interesante no debido a su complejidad técnica, sino a la cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica y en este caso particularmente en México.
Según la compañía de seguridad informática Norton, en nuestro país los ataques de malware afectan a las empresas con pérdidas anuales de 39 mil millones de pesos.
A escala mundial, el costo de este tipo de ciberataques es de 113 mil
millones de dólares, de los cuales 38% son pérdidas por fraudes, 24%
por reparaciones, 21% por pérdida de información robada y 17% por otros
ataques.
Cómo funciona el malware Plotus
1.- Al introducirse un CD-ROM en el sistema, se ejecuta como un servicio de Windows llamado NCRDRVPS.
2. Los delincuentes crean una interfaz para interactuar con el software de ATM en un cajero automático, a través de la clase NCR.APTRA.AXFS
3.- Su nombre binario es PlotusService.exe
4.- Se crea una ventana oculta que puede ser activada por los delincuentes para interactuar con el cajero automático.
5.- Interpreta combinaciones de teclas específicas, introducidos por
los delincuentes, como los comandos que se pueden recibir de un teclado
externo (que debe conectarse a la ATM).
6.- Genera un ID en el cajero: número creado aleatoriamente asignado
al cajero automático, basado en día y mes actual al momento de la
infección.
7.- Activa el ID en el cajero: establece un temporizador para dispensar dinero. El malware “ordeña” el dinero dentro de las primeras 24 horas después de que se ha activado.
8.- Dispensa efectivo: se vierte el dinero solicitado por los delincuentes.
9.-Se reinicia el periodo de tiempo de dosificación del efectivo.
Fuente: Via
0 comentarios:
Publicar un comentario