Seguridad | martes 18 de abril de 2017 | 17:43hs
Más notas de Seguridad: |

Nueva forma de operar contra los bancos

Ataques remotos a cajeros automáticos

Un día, los empleados de un banco descubrieron un cajero automático vacío: no había dinero, ni rastros de interacción física con la máquina, y tampoco malware. Después de pasar tiempo descifrando este misterioso caso, los expertos de Kaspersky Lab no sólo pudieron entender las herramientas cibernéticas utilizadas en el robo, sino también reproducir el ataque y descubrir un fallo de seguridad en el banco.

RobaCajero
RobaCajero
Documentos asociados

La investigación comenzó después de que los especialistas forenses del banco recuperaron y le dieron a conocer a Kaspersky Lab dos archivos que contenían registros de malware del disco duro del cajero automático (kl.txt y logfile.txt). Estos eran los únicos archivos que estaban en la máquina después del ataque: no fue posible recuperar los ejecutables maliciosos porque después del robo los cibercriminales habían limpiado el malware. Pero incluso, esta pequeña cantidad de datos fue suficiente para que Kaspersky Lab llevara a cabo una investigación exitosa.

Borrar/rebobinar

Dentro de los archivos de registro, los expertos de Kaspersky Lab identificaron partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y a encontrar una muestra. Las reglas YARA son básicamente cadenas de búsqueda que ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas con base en patrones de actividad sospechosa en sistemas o redes que comparten similitudes.

Después de un día de espera, los expertos encontraron la deseada muestra de malware, “tv.dll”, o “ATMitch” como fue nombrada posteriormente. Fue visto de manera activa dos veces: una vez desde Kazajistán y otra desde Rusia.

Este malware se instala y se ejecuta en un cajero automático desde el banco que es usado como blanco de manera remota. Una vez instalado y conectado, el malware ATMitch se comunica con el cajero automático como si fuera un software legítimo. El malware les permite a los atacantes realizar una lista de comandos, incluyendo la recopilación de información sobre el número de billetes en los cartuchos del cajero automático. Es más, proporciona a los criminales la posibilidad de distribuir dinero en cualquier momento con sólo tocar un botón.

Por lo general, los criminales empiezan por obtener información sobre la cantidad de dinero que tiene la máquina. Después de eso, un criminal puede enviar una orden para dispensar cualquier número de billetes de alguno de los cartuchos. Después de retirar el dinero de esta peculiar manera, los criminales sólo toman el dinero y se van. Un robo como éste toma tan solo unos segundos.

Una vez que se roba un cajero automático, el malware elimina su rastro.

 ¿Quién está detrás?

Aun no se sabe quién está detrás de estos ataques. El uso de código abierto para estos ataques, herramientas comunes de Windows y dominios desconocidos durante la primera etapa de la operación, hacen que sea casi imposible determinar al grupo responsable. Sin embargo, el “tv.dll”, que se usó en la etapa ATM del ataque contiene un recurso de idioma ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.

Es posible que los atacantes sigan activos. Pero no hay que entrar en pánico. Combatir este tipo de ataques requiere un conjunto específico de habilidades del especialista de seguridad que protege a la organización que esta como objetivo. El éxito de la violación y ex-filtración de datos de una red sólo puede lograrse con herramientas comunes y legítimas; después del ataque, los delincuentes pueden borrar todos los datos que podrían llevar a su detección y no dejar huellas, y nada en lo absoluto. Para resolver estos problemas, el estudio forense de la memoria se está volviendo crucial para analizar el malware y sus funciones. Y como lo prueba nuestro caso, una respuesta al incidente cuidadosamente dirigida puede ayudar a resolver, incluso el cibercrimen preparado perfectamente”, dijo Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab.

Los productos de Kaspersky Lab detectan con éxito las operaciones que utilizan las tácticas, técnicas y procedimientos anteriormente mencionados. Información adicional sobre este tema y las reglas Yara para el análisis forense de los ataques sin archivos está disponible en el blog de Securelist.com. También se proporcionaron detalles técnicos, incluyendo los indicadores de fallos, a los clientes de Kaspersky Intelligence Services.

Fuentes:
TyN
Kapersky Labs

INTENSIVO. EN DOS JORNADAS.

Curso Fundamental de Seguridad para Programadores

ago

24

Curso intensivo en dos jornadas completas durante el cual recorreremos las principales vulnerabilidades de sitios web reconocidas por organizaciones independientes (OWASP, CWE/SANS, etc) y veremos la forma de codificar para prevenirlas y evitarlas. Se darán ejemplos de código, se realizarán demostraciones de ataque y defensa.
 

¡ GRATIS ! UN GRAN AFTER OFFICE PARA DESARROLLADORES

ASP .Net Core así en la web como en la Nube

ago

28

Tres charlas gratuitas que nos ofrecerán un recorrido por distintas arquitecturas e implementaciones de ASP .Net Core y por algunas funcionalidades de Azure. Imperdible para desarrolladores.
 

GRATIS. AFTER OFFICE.

¿Porque implementar UX?

ago

29

La experiencia de usuario es una disciplina que se expande día a día ayudando a mejorar nuestras aplicaciones. En esta charla abierta hablaremos sobre sus alcances y cual es la forma más sencilla de implementarla dentro del proceso de desarrollo.
 

NUEVA EDICIÓN DEL WORKSHOP. 
Arquitectura de Software Adaptativa

sep

04

Taller que pone foco en el diseño de arquitectura de software desde un punto de vista iterativo, con mayor involucramiento del cliente/negocio en las decisiones. La hipótesis de trabajo es que el esfuerzo de la labor de arquitectura debe estar repartido durante todo el ciclo de vida, la toma de decisiones de alto impacto debe ser oportuna y su re-evaluación permanente. Trabajamos también el rol comunicacional y negociador del arquitecto.
 

WORKSHOP

Creación de Chatbots

sep

08

Actualmente los bots conversacionales ofrecen múltiples ventajas sobre las aplicaciones de interfaz de usuario tradicionales (Escritorio, Web). En este workshop veremos como crear chatbots paso a paso utilizando Microsoft Bot Builder y Microsoft Bot Framework.
 

JORNADA DE ACTUALIZACIÓN

Actualiza tus conocimientos de SQL Server a su versión 2016 / 2017

sep

15

En esta jornada destinada a usuarios con nivel intermedio y avanzado veremos las importantes novedades que traen estas dos versiones de SQL Server tanto para los DBA, como desarrolladores y científicos de datos.
 

Así es. ¿No lo cree?

Microsoft ama a Linux

Satya Nardella

¿.Net Open Source y .NET Framework en Linux y OSX? Ya no podemos decir que una noticia nos sorprende. Lo que ayer no era, hoy puede que sea, y mañana será. El giro de Microsoft en sus negocios continua generando novedades, sobre todo para los desarrolladores.

Codificando para todas las plataformas

Visual Studio Code

Visual Studio Code

Está disponible para descarga la versión última de Visual Studio Code. Por lo que se ve, la nueva herramienta de programación multimplataforma está cumpliendo con lo prometido hace unos meses.

 

Base de datos | SQL Server

Mejorando la performance usando columnas calculadas

20.08.2013 | Las columnas calculadas (Computed Column) son útiles para varias cosas. Sabemos que nos permiten tener una formula sobre ellas, pero muy pocos saben que a estos campos también se les pueden crear índices. Veamos cómo podemos mejorar la performance de algunas querys con el uso de estas columnas calculadas y sus índices.