A través de reglas YARA detectó el ciberataque
La forma misteriosa de extraer dinero de los cajeros automáticos fue exitosamente reconstruida e identificada por expertos de Kaspersky Lab, se trata del malware ATMich que se instala desde el banco que es usado de manera remota para comunicarse con el cajero como si fuera un software legítimo.
Este malware permite a los atacantes realizar una lista de comandos, incluyendo la recopilación de información sobre el número de billetes en los cartuchos del cajero automático y aun más, proporciona a los ciberdelincuentes la posibilidad de distribuir dinero en cualquier momento con sólo tocar un botón.
Por lo general, los criminales empiezan por obtener información sobre la cantidad de dinero que tiene la máquina, posteriormente envían una orden para dispensar cualquier número de billetes de alguno de los cartuchos y retirar el dinero. Una vez que se roba un cajero automático el malware elimina su rastro.
En febrero de 2017, Kaspersky Lab publicó resultados de una investigación sobre ataques misteriosos sin archivos contra los bancos; los criminales utilizaban malware en la memoria para infectar las redes bancarias. Ante ello la investigación y reconstrucción del caso ATMitch brindó una visión más completa.
La investigación comenzó después de que los especialistas forenses del banco recuperaron y entregaron a Kaspersky Lab dos archivos que contenían registros de malware del disco duro del cajero automático (kl.txt y logfile.txt). Estos eran los únicos archivos que estaban en la máquina después del ataque
“No fue posible recuperar los ejecutables maliciosos porque después del robo los cibercriminales habían limpiado el malware. Afortunadamente esa pequeña cantidad de datos fue suficiente para que Kaspersky Lab llevara a cabo una investigación exitosa”.
Dentro de los archivos de registro, los expertos identificaron partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y encontrar una muestra.
Las reglas YARA son básicamente cadenas de búsqueda que ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas con base en patrones de actividad sospechosa en sistemas o redes que comparten similitudes.
Después de un día de espera, los investigadores encontraron la deseada muestra de malware, “tv.dll” o “ATMitch” como fue nombrada posteriormente. Fue visto de manera activa dos veces: una desde Kazajistán y otra en Rusia.
De acuerdo a las investigaciones es difícil aún saber quién está detrás de estos ataques, el uso de código abierto para estos ataques, herramientas comunes de Windows y dominios desconocidos durante la primera etapa de la operación, hacen que sea casi imposible determinar al grupo responsable.
La firma de seguridad tecnológica precisó que el “tv.dll”, que se usó en la etapa ATM del ataque contiene un recurso de idioma ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.
Sergey Golovanov, investigador Principal de Seguridad en Kaspersky Lab, señaló que es posible que los atacantes sigan activos, aunque no se debe entrar en pánico, pues los productos de Kaspersky Lab detectan con éxito las operaciones utilizando las tácticas, técnicas y procedimientos a través de las reglas YARA disponibles en el blog de Securelist.com. También se proporcionaron detalles técnicos, incluyendo los indicadores de fallos, a los clientes de Kaspersky Intelligence Services.
El investigador precisó que combatir este tipo de ataques requiere un conjunto específico de habilidades del especialista de seguridad que protege a la organización que esta como objetivo. “El éxito de la violación y ex-filtración de datos de una red sólo puede lograrse con herramientas comunes y legítimas; después del ataque los delincuentes pueden borrar todos los datos que puedan llevar a su detección y no dejar huellas”.
Para enfrentar este problema, subrayó, el estudio forense de la memoria es crucial para detectar el malware y sus funciones, y como lo prueba el caso analizado, una respuesta al incidente cuidadosamente dirigida puede ayudar a resolver el cibercrimen preparado perfectamente.
C$T-EVP
