Crooks compró el software patentado Diebold para cajeros automáticos con jackpot

Diebold Nixdorf, que generó $ 3.3 mil millones en ventas y servicio de cajeros automáticos el año pasado, advierte a las empresas, bancos y otros clientes de una nueva forma de "premio gordo" basado en hardware, el término industrial para los ataques que los ladrones usan para vaciar rápidamente los cajeros automáticos.

La nueva variante utiliza un dispositivo en el que se ejecutan partes de la pila de software de la compañía. Los atacantes luego conectan el dispositivo a los componentes internos del cajero automático y emiten comandos. Los ataques exitosos pueden resultar en un flujo de dinero que a veces gasta hasta 40 billetes cada 23 segundos. Los dispositivos se conectan accediendo a una llave que desbloquea el chasis del cajero automático o perforando agujeros o rompiendo las cerraduras físicas para obtener acceso a las partes internas de la máquina. Las interfaces de programación que se encuentran en el cajero automático generalmente se denominan cajas negras El sistema operativo se incluye para dirigir comandos que finalmente llegan al componente de hardware que gasta efectivo. Más recientemente, Diebold Nixdorf ha observado una avalancha de ataques de caja negra que contienen partes del software de la compañía.

"Algunos de los ataques exitosos muestran un nuevo modus operandi personalizado para llevar a cabo el ataque", advirtió Diebold Nixdorf en un Aviso de Seguridad Activa emitido la semana pasada y entregado a Ars por un representante de la compañía. "Aunque el estafador todavía está conectando un dispositivo externo, parece que en esta etapa de nuestra investigación este dispositivo también contiene partes de la pila de software del cajero automático atacado".

La nota estaba en otra parte:

En general, el premio mayor se refiere a una categoría de ataques destinados a dispensar efectivo ilegalmente en un cajero automático. La variante de caja negra del premio mayor no utiliza la pila de software del cajero automático para emitir dinero desde el terminal. En cambio, el estafador conecta su propio dispositivo, la "caja negra", con el donante y tiene como objetivo directo comunicarse con el dispositivo de manejo de efectivo.

En incidentes recientes, los atacantes se centran en sistemas exteriores y destruyen partes de la fascia para obtener acceso físico al espacio superior. Luego, se desconectó el cable USB entre el dispensador CMD-V4 y la electrónica especial o el cable entre la electrónica especial y la PC ATM. Este cable está conectado a la caja negra del atacante para enviar comandos de salida ilegales.

Algunos incidentes indican que la caja negra contiene partes individuales de la pila de software del cajero automático atacado. La investigación sobre cómo se obtuvieron estas partes del estafador aún está en curso. Una posibilidad podría ser un ataque fuera de línea en un disco duro sin cifrar.

Falsificación del cajero automático

El número creciente de ataques apunta a los terminales de línea ProCash de la compañía, particularmente el modelo USB ProCash 2050xs. Los ataques en curso están ocurriendo en "ciertos países europeos", dijo el asesor.

Bruno Oliveira, un experto en seguridad de cajeros automáticos, dijo que había oído hablar de la forma anterior del ataque de la caja negra. El dispositivo conectado manipula las API, que se incluyen en las extensiones del sistema operativo como XFS o CFS y se comunican con servidores remotos operados por instituciones financieras. Las cajas negras que imitan la PC interna de un cajero automático pueden ser computadoras portátiles o hardware Raspberry o Arduino que son relativamente fáciles de construir, dijo Oliveira. Las cajas negras son una de las cuatro técnicas de bote que Diebold Nixdorf describe aquí.

En algunos casos, los dispositivos conectados establecen una conexión directa con el cajero automático y emiten comandos para que escupe dinero. La otra forma de ataque de caja negra se conecta a los cables de red y registra la información del titular de la tarjeta a medida que se pasa entre el cajero automático y el centro de transacciones que procesa la sesión. El dispositivo conectado luego cambia los montos máximos de pago autorizados o se disfraza como el sistema host para que el cajero automático pueda gastar grandes sumas de dinero.

El folleto del premio mayor vinculado anteriormente describe otros dos tipos de ataques. El primero cambia el disco duro legítimo por uno creado por los atacantes. El otro usa ataques de phishing contra empleados bancarios. Una vez que los atacantes obtienen acceso a la red de una institución financiera, emiten comandos que infectan los cajeros automáticos con malware que se puede utilizar para limpiar las máquinas.

Buenas y malas noticias

La nueva variante de ataque descrita por Diebold es una buena y mala noticia para los consumidores. Por un lado, no hay evidencia de que los ladrones estén usando su paquete de software recientemente adquirido para robar datos de la tarjeta. La mala noticia es que los atacantes parecen tener software propietario en sus manos que hace que los ataques sean más efectivos. El aumento reciente en el premio gordo exitoso en última instancia dará como resultado tarifas más altas a medida que las instituciones financieras transfieran los costos de las pérdidas. Diebold ha tomado una serie de medidas de seguridad que los propietarios de cajeros automáticos pueden tomar para protegerse de los ataques.

Hay pocos usuarios de cajeros automáticos que puedan hacer para evitar el premio mayor. Sin embargo, es importante utilizar solo cajeros automáticos de grandes bancos y evitar los cajeros automáticos de las tiendas de la esquina. También es una buena idea proteger el teclado de ingresar PIN y verificar los extractos bancarios de transacciones no autorizadas cada mes.