Minutos antes que se hiciera público el robo de 12 millones de Baht (moneda tailandesa) a bancos en Tailandia, se agregó un nuevo tipo de malware en el sitio de VirusTotal desde una dirección IP que se encuentra en Tailandia. Investigadores de FireEye, Inc. detectaron esa muestra de malware en cajeros automáticos –basado en tecnología de comunicación de alta velocidad que interconecta redes para aplicaciones de datos- utilizando técnicas nunca antes vistas.
El malware, llamado “RIPPER”, derivado del nombre del proyecto ATMRIPPER identificado en la muestra, el malware de referencia está diseñado para robar cajeros automáticos y bancos, y se basa en la misma estrategia detectada anteriormente en otros programas maliciosos que afectan los cajeros ATM y sus componentes, tales como el control del dispositivo lector de tarjetas bancarias. El malware es capaz de desactivar la interfaz LAN; utiliza herramienta de exclusión SDelete para quitar en forma segura las pruebas forenses; e impone un límite de 40 tickets de retiro continuo de dinero, que es el máximo permitido por el proveedor de ATM.
El “RIPPER” destaca por tener nuevas capacidades que le permiten fijarse como objetivo afectar a tres de los principales proveedores de cajeros automáticos en todo el mundo; y es que el malware interactúa con el ATM mediante la inserción de una tarjeta hecha con un chip EMV que sirve como un mecanismo de autenticación que se considera por los expertos como un mecanismo inusual.
Cómo funciona RIPPER
Su forma de ataque presenta dos variables: Como un servicio autónomo, o bien disfrazado de un cajero automático de proceso legítimo, y es que permite la conectividad para dispensar billetes de banco, funciona a través del lector de tarjetas y del teclado Pinpad, y opera a partir de la identificación de los dispositivos recién instalados, debido a que cada cajero automático tiene identificación o registro único.
El “RIPPER” asegura la disponibilidad de los equipos bajo petición. En el dispensador, por ejemplo, comprueba el número y el tipo de notas disponibles, en tanto que un segundo registro de entrada, controla el lector de tarjetas. Una vez insertada la tarjeta, se valida el chip EMV para la autenticación en el cajero automático por parte del malware. Al identificar el chip malicioso, “RIPPER” inicia un temporizador que permite al ladrón tomar el control de la máquina. Las instrucciones se generan a través del Pinpad y ofrece varias opciones, incluyendo métodos de distribución de divisas.
Conclusión
A través de fuentes o códigos abiertos, FireEye ha identificado una familia de malware que pudo haber sido utilizada en robos recientes y tiene similitudes con familias ya conocidas o similares. Esto compromete a plataformas de múltiples proveedores, ya que aplica una tecnología inusual para tener acceso a los dispositivos físicos. Además de la sofisticación técnica, ataques como los que afectan a los cajeros automáticos en Tailandia, requieren una coordinación de ambos mundos, virtuales y físicos.