Un delincuente llega a un cajero automático; lo abre e ingresa un código malicioso en la computadora a través de un disco compacto o un dispositivo USB. Después conecta un teclado a través del puerto USB y ejecuta un comando con el que el cajero automático comienza a entregar los billetes hasta vaciarlo prácticamente. Los hackers maliciosos atacaron con el famoso virus Ploutus.
Esta historia no es nueva; este virus fue descubierto en el 2013 en México y se ha diseminado a nivel global y se calcula que ha generado pérdidas superiores a los 450 millones de dólares. Pero una nueva versión del malware fue descubierta por el director del Equipo de Investigación de la firma de ciberseguridad Fire Eye, Daniel Regalado. Esta versión recargada, llamada Ploutus-D podría tener un impacto mayor a su antecesor.
Mientras que las versiones anteriores de Ploutus atacaban al fabricante estadounidense de cajeros automáticos NCR, Ploutus-D es capaz de infectar al software Kalignite, del desarrollador KAL, un software multiplataforma que es usado por fabricantes líderes como NCR y la alemana Diebold.
“La principal diferencia es que no se enfoca a ese vendedor (NCR) sino a lo que se conoce como multivendor. Su producto se llama Kalignite que corre en diferentes fabricantes de cajeros, y ellos dicen que corre su producto en 40 fabricantes y 80 países. Al poder utilizar esta plataforma multivendor, los hackers podrían acceder a más vendedores de cajeros”, explicó Regalado a El Economista.
En entrevista telefónica desde San Francisco, California, el investigador —quien también descubrió la primera aparición de Ploutus en el 2013— detalló que el descubrimiento de esta nueva versión del virus fue tras un ataque a un cajero automático fabricado por Diebold operado por un “banco muy importante de Sudamérica”.
Por cuestiones de confidencialidad, Regalado no dio más detalles sobre la identidad de la institución por cuestiones de confidencialidad.
“Tenemos un servicio de respuesta a incidentes y encontraron el cajero con el virus ya instalado después de detectar mediante las cámaras de seguridad que alguien estaba instalando algo en el cajero. Nos mandaron los archivos binarios y descubrimos que era una nueva versión”, comentó.
Otra de las diferencias radica en el sistema operativo. Mientras las versiones anteriories de Ploutus actuaban sobre sistemas que funcionan con Windows XP, Ploutus-D actúa sobre Windows 10, Windows 8, Windows 7 y también XP.
Si bien el código analizado por el investigador de Fire Eye reveló que el ataque estaba dirigido a los cajeros de Diebold, lo cierto es que con un cambio mínimo puede ampliar su campo de acción a cualquier equipo que funciona con Kalignite.
De acuerdo con el sitio web de KAL, el banco mexicano Citibanamex es uno de los usuarios de cajeros automáticos que utilizan su sistema. En una presentación que data del 2014, KAL revela que 6,654 cajeros fabricados por NCR y Diebold utilizan el software de esta empresa. Esta cifra representa el mayor despliegue de cajeros automáticos de su matriz Citi, al contabilizar el 59% de estos dispositivos para obtener dinero en efectivo, según la presentación publicada por KAL.
El Economista buscó a Citibanamex para conocer si habían registrado ataques a través de este malware, pero al cierre de esta edición no se obtuvo respuesta.
Hecho en América Latina
“PLOUTUS-MADE-IN-LATIN-AMERICA-XD” (Ploutus hecho en América Latina). Esta frase fue encontrada en los archivos instalados como parte de la infección, relató Daniel Regalado.
Los expertos en ciberseguridad han sospechado que este malware puede haber sido creado por hackers mexicanos, pero el investigador tiene la hipótesis que fue diseñado por ciberdelincuentes venezolanos quizás en colaboración con mexicanos.
“En su momento, salió la noticia de que se había agarrado a los atacantes que eran en su mayoría venezolanos aunque también había mexicanos. Técnicamente no he encontrado más virus de cajeros en México pero sí virus en Venezuela. El expertise es de Venezuela”, dijo.
El experto además relató que en noviembre pasado, estuvo en comunicación con un hacker de Venezuela quien le reveló la existencia de Ploutus que se activa desde el teléfono móvil, a través de un mensaje de texto.
“Un hacker venezolano es el que me revela que hay una versión de Ploutus para el celular, y me dio todos los detalles técnicos. Como lo entendí es que el hacker venezolano tenía esos conocimientos porque , si bien no lo hizo, sí estaba muy cercano a la gente que desarrolló Ploutus. Se trataba de conocimiento que no estaba público en ningún lado pero me ayudó a descubrir que se podía atacar con el celular, y es que Ploutus pudo ser creado en Venezuela”, explicó.
Las infecciones a través de Ploutus-D no se derivan de una vulnerabilidad, aseguró Regalado. Para realizar estos ataques, los ciberdelincuentes tuvieron acceso previo al código del software que pudo ser a través del robo físico de un cajero automático, o a través de la complicidad de un empleado del banco.
De esta forma, el atacante accede al sistema y puede manipular el software del cajero automático para que pueda obtener el dinero sin levantar alarmas durante el atraco.
Fuente: El Financiero