El pasado 11 de Enero del 2017, una firma de origen Estadounidense que se dedica a temas de ciberseguridad, FireEye, ha publicado en su blogpost a cerca de este nuevo malware que han denominado “Ploutus-D” y descrito como “uno de los malware para Cajeros Automáticos (ATMs) más avanzados en su tipo de los que se han visto hasta ahora”. Debido a que este malware utiliza algunos componentes de la plataforma del software de KAL y apunta hacia los Cajeros Automáticos, este malware es de un interés significativo para los clientes de KAL, así como para toda la industria de Cajeros Automáticos. Este artículo trata del entendimiento de este malware por parte de KAL y nuestra recomendación para los administradores de Cajeros Automáticos. KAL agradece a FireEye por notificarnos de forma anticipada sobre sus hallazgos y publicación en su portal web.
Este malware tiene dos características que lo definen:
1. Es capaz de dispensar efectivo a través de un Cajero Automático con componentes XFS, y
2. Es capaz de controlar cuándo y cuánto efectivo dispensar, por lo que una “mula” puede recolectarlo de acuerdo a instrucciones remotas que envía otra persona de forma inteligente.
Dispensando el efectivo
Aquellos en la industria de Cajeros Automáticos deberán estar alerta de los estándares XFS y de la implementación de la Plataforma Kalignite. El malware utiliza componentes del software de KAL para implementar la función de dispensar efectivo a través del Proveedor de Servicio del Dispensador en el XFS. El artículo de FireEye postula que uno de los componentes del software de KAL fue controlado en un Cajero Automático robado y vulnerado. Esta práctica de robo de cajeros es común en algunos países, no sólo por el efectivo, sino también para analizar y crear componentes de software.
Controlando el dispensado de efectivo
Hay un código sofisticado que se implementó en el malware de Ploutus para controlar el dispensador del Cajero Automático, por lo que el proceso utilizado para recolectar el efectivo debe incorporar una “mula” que está siendo controlado por otra persona de manera inteligente. Esto es para asegurarse de que la mula de efectivo no disponga del mismo para sí, sino que lo entregue a quien lo controla antes de regresar por el siguiente lote de efectivo del Cajero Automático afectado. A efectos de realizar este proceso, el malware requiere un teclado o un teléfono conectado al Cajero Automático y con ello otra persona, de forma inteligente, puede habilitar/deshabilitar el proceso de dispensado y asegurarse de que el efectivo que la mula recibe es por la cantidad específica (y no, por ejemplo; dispensar el efectivo a un cliente inesperado que esté utilizando el Cajero Automático en ese preciso momento). La cantidad dispensada es sin duda determinada por la mula de efectivo que son propios de su historial crediticio.
Un aspecto muy importante sobre el uso de este malware, que no señala FireEye es, cómo el malware es instalado inicialmente en el Cajero Automático. Para KAL, el malware solo puede ser utilizado en Cajeros Automáticos que no cuentan con niveles de protección de seguridad apropiada, o donde la protección no ha sido habilitada. Para que el malware funcione, cada una de las siguientes protecciones de seguridad debería fallar:
1. Acceso físico a la PC-Core del Cajero Automático: el malware requiere acceso a un puerto para teclado (por ejemplo, PS/2) y/o acceso a un puerto USB. Esto requiere acceder físicamente a la ubicación donde el Cajero Automático se encuentra – la mayoría de los Cajeros Automáticos cuentan con obstáculos físicos que no permitirían o harían posible esto – ni el acceso a la PC-Core dentro del Cajero Automático. Nuevamente, la mayoría de los Cajeros Automáticos tienen una cerradura física para la cabina del Cajero Automático que contiene la PC-Core de éste.
2. En segundo lugar, el malware necesitaría ser instalado dentro del Cajero Automático en un ambiente productivo y en servicio. Para realizar esto, es necesario tener acceso físico como se menciona en el primer punto y se requiere un puerto USB para dejar inseguros los componentes de almacenamiento. Alternativamente, el malware tendría que ser introducido a través de una sofisticada red de ataque – sin embargo, no hay evidencia de esto. Nuestra conjetura es que el malware podría haber sido introducido a través de un puerto USB desbloqueado.
3. Finalmente, el malware tendría que ser instalado y ejecutado por sí mismo en un Cajero Automático. Esto no podría ser posible en Cajeros Automáticos protegidos con la tecnología “whitelisting” o usuarios permitidos.
Todas estas tres omisiones o desventajas mencionadas en los párrafos anteriores son necesarias para que el malware pueda atacar a un Cajero Automático – cualesquiera de las tres protecciones mencionadas podrían detener la utilización del malware.
Consejo para los propietarios de Cajeros Automáticos
Ploutus-D es una amenaza para todos los propietarios de Cajeros Automáticos y no sólo para los clientes de KAL. Como sostiene FireEye, “el software de KAL en los Cajeros Automáticos es eliminado del sistema operativo con Ploutus-D…” lo que significa que todos los Cajeros Automáticos que cuenten con XFS están en riesgo de ser atacados por este malware.
Las siguientes precauciones de seguridad son más que esenciales en todos los Cajeros Automáticos para ser protegidos contra Ploutus-D:
1. Seguridad física para proteger el acceso a la PC-Core. La Tarjeta-madre, puertos USB y puertos para Teclados deben ser protegidos contra el fácil acceso físico.
2. Lockdown activado para dispositivos USB de almacenamiento. Es esencial que los puertos USB estén bloqueados para que ningún dispositivo de almacenamiento pueda ser insertado y utilizado.
3. Utilizar Software “whitelisting”, con ello solo el software autorizado se permite ejecutar en el Cajero Automático.
Finalmente agregamos un punto adicional importante:
4. La razón por la cual Ploutus-D existe, no es solo porque algunos Cajeros Automáticos no están protegidos, sino porque algunos discos duros pueden ser robados y alterar el software legítimo que éste contenga. Es esencial que los discos duros del Cajero Automático estén asegurados y totalmente encriptados.
Consejo para los clientes de KAL
Es muy importante que nuestros clientes tengan habilitado el Kalignite Security Lockdown en todos sus Cajeros Automáticos. Éste contiene todas las medidas de seguridad mencionadas en los párrafos anteriores, pero además contiene funcionalidades que ayudan a bloquear ataques de otro tipo de malwares.
Nos ponemos a su disposición para cualquier información adicional que requieran tratar.
15 de Enero del 2017