Trend Micro mapeia novos malwares que invadem caixas eletrônicos

Nem caixas eletrônicos escapam de ataques de cibercriminosos. Segundo relatório da Trend Micro, realizado em conjunto com o European Cybercrime Center (EC3) da Europol, aponta aumento na incidência de ataques remotos visando os caixas eletrônicos. O levantamento revela que esses ataques podem ser feitos tanto por métodos físicos, como via rede e que envolvem primeiramente o hackeamento de contas bancárias corporativas.

O estudo destaca a evolução dos ataques. Embora ataques que exigem acesso físico para infectar as máquinas ainda são percebidos, os hackers agora os executam com o uso de redes bancárias para roubar dinheiro e dados de cartão de crédito, independentemente da segmentação de rede. Além disso, ilustra também como os cibercriminosos estudam as possibilidades antes de chegar ao ataque real.

No caso de ataques feitos em caixas eletrônicos por métodos físicos, a Trend Micro revela que cibercriminosos geralmente abrem a máquina com uma chave genérica ou à força. Esses ataques não só colocam em risco as informações de identificação pessoal (PII) e grandes quantias de dinheiro, mas também são uma falha de conformidade dos bancos em violação com relação aos padrões PCI.

Obter dinheiro não é o único objetivo dos “cybercrooks” nos ataques aos caixas eletrônicos. Esses criminosos também podem comprometer os dados dos clientes em um processo conhecido como skimming, em que são roubados os dados de cartões para obtenção de informações roubadas.

A propagação de ataques por meio da rede, expõe bem menos os cibercriminosos. No entanto, o ataque virtual às ATMs exige um preparo técnico bem maior: o ponto mais sensível é acessar a rede ATM tendo a rede do banco como ponto de partida.

Uma rede planejada da forma correta deveria contar com a rede ATM separada da rede principal do banco. Dessa forma, ter acesso a uma rede, não significaria ganhar acesso à outra. Para acessar as duas redes simultaneamente, o ideal seria que a empresa adotasse protocolos de segurança básicos como autenticação em duas etapas e firewalls.

No entanto, segundo a Trend Micro, mesmo as instituições financeiras que contavam com as duas redes separadas, reportaram incidentes e demonstraram como os cibercriminosos estabeleceram um ponto de apoio sólido na rede principal de um banco, instalando com sucesso o malware em caixas eletrônicos.

Baseado nas observações da Trend Micro sobre diferentes ataques a redes bancárias invadidas por cibercriminosos, os procedimentos são tão simples quanto enviar e-mails phishing aos funcionários de um banco. Uma vez infiltrado, o cibercriminosos realiza movimentos laterais para acesso das sub-redes, incluindo as máquinas ATM’s.

O Ripper é um dos mais conhecidos malware de ATM que usaram a rede como vetor de infecção. Direcionado a três dos principais fabricantes de caixas eletrônicos, milhares de máquinas ATM foram atacadas na Tailândia.

Este malware conta com capacidades de jackpotting, permitindo que sejam distribuídos dinheiro de caixas eletrônicos em grandes quantidades até o esvaziamento das máquinas. Outra característica do Ripper é que ele pode se autodestruir, removendo os vestígios de sua atividade no ambiente operacional e dificultando a análise de pós-infecção forense.