Foto de Blai Peidro
Hola

Soy Blai Peidro

Senior Infrastructure Engineer

  • Stack Linux · Bash · Python · Ansible
  • Intereses Automatización · IA · Network
  • Idiomas Español · Català · English
  • Ubicación Barcelona, España
  • Web https://www.blai.blog

Jackpotting: de Terminator 2 a la vida real

, ,
La detención del jefe técnico de una organización criminal dedicada al robo de billetes en cajeros automáticos ha puesto de manifiesto este tipo de ataques informáticos, conocidos como jackpotting.



¿Quién no ha visto la película Terminator 2, con esa mítica escena en la que un joven John Connor hackea un cajero y sustrae dinero en efectivo? Como siempre, la realidad supera la ficción y este tipo de ataques – conocidos como jackpotting en el ámbito de la ciberseguridad – llevan años produciéndose en el mundo real.
Jackpotting Técnica de ataque informático que consiste en manipular un cajero automático para que dispense dinero en efectivo de forma fraudulenta, sin necesidad de tarjeta bancaria. El nombre proviene del término inglés jackpot, el premio en metálico que otorga una máquina tragaperras.

No se trata de un fenómeno nuevo: el investigador Barnaby Jack ya demostró en su charla en Black Hat 2010 que era posible vaciar un cajero en minutos. Su demostración en directo – hacer que dos cajeros expulsaran billetes sobre el escenario – puso esta técnica en el punto de mira desde ese momento.

Pocos años después, en 2013, apareció Ploutus en México, y en 2016, un ataque coordinado vació 41 cajeros del First Commercial Bank de Taiwán en dos horas. Para el inicio de 2018, el jackpotting ya se había extendido a cuatro continentes.

Carbanak


El jackpotting se ha situado en el punto de mira de los medios de comunicación de España a raíz de la detención en Alicante del ucraniano Denis K., líder técnico de un grupo de criminales dedicado a robar bancos. Y es que si antes los bancos se robaban a punta de pistola, ahora se roban a clic de ratón.

El grupo, que se valía de varios programas de creación propia para cometer los robos (Carbanak, Cobalt, Anunak...), logró penetrar en los sistemas informáticos de bancos de todo el mundo y llevar a cabo extracciones programadas de dinero en cajeros por valor de más de 1.000 millones de dólares.



Todo esto ha sido posible porque, según Kaspersky, los cajeros están desfasados.

En 2018, el 95% de los cajeros automáticos del mundo aún usan Windows XP.

— Kaspersky

Recordemos que Windows XP dejó de recibir actualizaciones de seguridad por parte de Microsoft en abril de 2014, lo que significa que cualquier vulnerabilidad descubierta desde entonces quedará sin parchear para siempre.

Modus operandi


Denis K. creó varios sistemas de spear phishing para acceder a las redes internas de los bancos, además de usar la herramienta de pentesting Cobalt Strike.
Spear phishing Variante del phishing en la que el atacante personaliza el mensaje para una víctima concreta – usando su nombre, cargo o información de la empresa – con el objetivo de ganarse su confianza y conseguir que abra un archivo malicioso o facilite sus credenciales. A diferencia del phishing masivo, el spear phishing es dirigido y mucho más difícil de detectar.

Según S21sec, los ataques a entidades bancarias funcionaban de este modo:

  1. Los delincuentes envían mails de spear phishing con adjuntos maliciosos.
  2. Un empleado abre el adjunto y les otorga acceso a la red interna del banco.
  3. Mediante escalado de privilegios, los criminales acceden a los cajeros.
  4. Los atacantes añaden los sistemas infectados a un panel de C&C.
  5. Los atacantes se conectan a los cajeros y los infectan con malware.
  6. El malware utiliza la capa XFS para tomar el control del dispensador del cajero.
  7. El atacante lanza remotamente órdenes de retirada de efectivo.
  8. Se indica a las mulas cuándo recoger el dinero.
  9. Se elimina toda prueba de forma remota, borrando cualquier evidencia.


La detención


Una vez controlados los sistemas de administración de los cajeros, el grupo mandaba a mulas – «mula» es el término que se suele utilizar para designar a la persona encargada de retirar los billetes – a cajeros concretos en horas determinadas a recoger el dinero dispensado. Luego, estas mulas cambiaban el efectivo por bitcoins y los enviaban a las carteras de los cerebros de la operación.

La actividad era lucrativa: el detenido poseía dos coches de alta gama, un chalé, un piso valorado en un millón de euros y joyas por valor de 500.000 euros, y llegó a disponer de 15.000 bitcoins. Fue precisamente su wallet de Bitcoin lo que permitió a la policía seguirle el rastro y acabar deteniéndole.

Y ahora yo me pregunto:

Si la policía es capaz de rastrear a alguien a través de su wallet de Bitcoin hasta dar con él físicamente, ¿tan difícil es rastrear a un tal M. Rajoy?

Fuentes:

Kaspersky - El mayor atraco del siglo: los hackers roban mil millones de dólares
El Periódico - Detenido Denis K., cerebro de cientos de ciberatracos
Fecha:
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)