Pulso Económico

Malware que ataca los cajeros vuelve mejorado

Especialistas en seguridad para las tecnologías en Internet, hallaron una versión mejorada del famoso virus Ploutus, con el cual los ciberdelincuentes pueden tener un acceso total, a un cajero automático a través de un código malicioso.  El delincuente, con ciertas aptitudes tecnológicas, llega a un cajero automático; lo abre e ingresa un código malicioso en la computadora del cajero, a través de un disco compacto o un dispositivo USB. Después conecta un teclado a través del puerto USB y ejecuta un comando con el que el cajero automático comienza a entregar los billetes hasta vaciarlo prácticamente. Los hackers maliciosos atacaron con el famoso virus Ploutus.

Esta historia no es nueva; este virus fue descubierto en el 2013 en México y se ha diseminado a nivel global y se calcula que ha generado pérdidas superiores a los 450 millones de dólares. Pero una nueva versión del malware fue descubierta por el director del Equipo de Investigación de la firma de seguridad en tecnología, Fire Eye, Daniel Regalado. Es una versión recargada, o mejorada, llamada Ploutus-D y podría tener un impacto mayor que su versión anterior. Mientras que las versiones iniciales de Ploutus atacaban al fabricante estadounidense de cajeros automáticos NCR, Ploutus-D es capaz de infectar al software Kalignite, del desarrollador KAL, un software multiplataforma que es usado por fabricantes líderes como NCR y la alemana Diebold.

Nuevo Malware es multiplataforma

“La principal diferencia es que no se enfoca a ese vendedor, NCR, sino a lo que se conoce como multivendor, o sea que este nuevo código funciona con diferentes plataformas de cajeros automáticos. Su producto se llama Kalignite que corre en diferentes fabricantes de cajeros, y ellos dicen que corre su producto en 40 fabricantes y 80 países. Al poder utilizar esta plataforma multivendor, los hackers podrían acceder a más vendedores de cajeros, explicó Regalado.

El investigador en ciberataques, Regalado, que trabaja desde San Francisco, California, fue quien también descubrió la primera aparición de Ploutus en el 2013 y ahora describe el descubrimiento de esta nueva versión del malware. Regalado indicó, que fue descubierto tras un ataque a un cajero automático fabricado por Diebold operado por un banco muy importante localizado en América del Sur y para proteger a esa institución financiera, no reveló detalles sobre dónde y qué banco se trataba.

ETenemos un servicio de respuesta a incidentes y encontraron el cajero con el virus ya instalado después de detectar mediante las cámaras de seguridad que alguien estaba instalando algo en el cajero. Nos mandaron los archivos binarios y descubrimos que era una nueva versiónT, comentó. Otra de las diferencias radica en el sistema operativo. Mientras las versiones anteriores de Ploutus actuaban sobre sistemas que funcionan con Windows XP, Ploutus-D actúa sobre Windows 10, Windows 8, Windows 7 y también XP. Si bien el código analizado por el investigador de Fire Eye reveló que el ataque estaba dirigido a los cajeros de Diebold, lo cierto es que con un cambio mínimo puede ampliar su campo de acción a cualquier equipo que funciona con Kalignite.

En México Kalignite es ampliamente usado

De acuerdo con el sitio web de KAL, el banco mexicano Citibanamex es uno de los usuarios de cajeros automáticos que utilizan su sistema. En una presentación que data del 2014, KAL revela que 6,654 cajeros fabricados por NCR y Diebold utilizan el software de esta empresa. Esta cifra representa el mayor despliegue de cajeros automáticos de su matriz Citi, al contabilizar el 59% de estos dispositivos para obtener dinero en efectivo, según la presentación publicada por KAL.

Malware hecho en  América Latina

PLOUTUS-MADE-IN-LATIN-AMERICA-XDP (Ploutus hecho en América Latina). Esta frase fue encontrada en los archivos instalados como parte de la infección, relató Daniel Regalado. Los expertos en seguridad de tecnología, han sospechado que este malware puede haber sido creado por hackers mexicanos, pero el investigador tiene la hipótesis que fue diseñado por hackers  venezolanos quizás en colaboración con algunos mexicanos. En este momento no tienen mayores indicios.

En su momento, salió la noticia de que se había agarrado a los atacantes que eran en su mayoría venezolanos aunque también había mexicanos. Técnicamente no han encontrado más casos de malware en los cajeros en México pero sí virus en Venezuela. El expertise de este upgrade, es de VenezuelaE, indicó Regalado. El experto además relató que en noviembre 2016, estuvo en comunicación con un supuesto hacker en Venezuela, quien le reveló la existencia de una variación del Ploutus que se activa desde el teléfono móvil, a través de un mensaje de texto.

ìUn hacker venezolano es el que me revela que hay una versión de Ploutus para el celular, y me dio todos los detalles técnicos. Como lo entendí es que el hacker venezolano tenía esos conocimientos porque, si bien no lo hizo, sí estaba muy cercano a la gente que desarrolló el upgrade al nuevo Ploutus. Se trataba de conocimiento que no estaba público en ningún lado pero me ayudó a descubrir que se podía atacar con el celular, y es que Ploutus pudo ser creado en VenezuelaU, explicó.

Las infecciones a través de Ploutus-D no se derivan de una vulnerabilidad, aseguró Regalado. Para realizar estos ataques, los ciberdelincuentes tuvieron acceso previo al código del software que pudo ser a través del robo físico de un cajero automático, o a través de la complicidad de un empleado en el banco. Indican pues, que de esta forma, el atacante accede al sistema y puede manipular el software del cajero automático para que pueda obtener el dinero sin levantar alarmas durante el ciberataque.

Redacción

Equipo de redacción

Avatar de Redacción