Jackpotting revela brechas em software proprietário
Jackpotting, uma técnica de roubo de ATM mais antiga, pode mostrar aos membros da equipe de operações de segurança o que observar quando se trata de ataques de Internet das coisas (IoT) em geral e até mesmo de vulnerabilidades de máquinas eleitorais.
Essa técnica entrou pela primeira vez no dicionário de segurança cibernética dos Estados Unidos em 2018, quando Brian Krebs alertou sobre ataques em caixas eletrônicos americanos. Jackpotting, explica Krebs, é “um crime sofisticado no qual os ladrões instalam software e / ou hardware malicioso em caixas eletrônicos que força as máquinas a cuspirem enormes volumes de dinheiro sob demanda”.
O alvo eram geralmente ATMs autônomos , quase sempre daqueles fabricados pela Diebold Nixdorf, uma empresa multinacional americana de tecnologia de varejo e financeira. Os criminosos precisavam de acesso físico ao caixa eletrônico. Em seguida, eles usaram um malware de jackpotting chamado Ploutus.D e eletrônicos especiais para assumir o controle das máquinas. Quando bem feito, o jackpotting oferecia um pagamento muito grande e rápido, como uma máquina caça-níqueis enlouquecida, mas com papel-moeda em vez de moedas.
Embora o jackpotting aconteça nos Estados Unidos, esse tipo de roubo cibernético é mais comum na Europa e na Ásia, onde os caixas eletrônicos são menos protegidos. Ainda assim, é um crime complicado de cometer, uma vez que a natureza do crime exige a proximidade física da máquina para configurar o crime e pegar o dinheiro. Claro, o dinheiro pronto é o grande atrativo, mas mesmo em lugares com o mínimo de aplicação da lei, por que os criminosos se esforçam?
Tudo se resume a sistemas operacionais desatualizados em caixas eletrônicos. Não é incomum encontrar sistemas operacionais Windows incompatíveis em caixas eletrônicos (ou outros dispositivos conectados à Internet). O Windows XP ainda é muito popular nesta área, embora tenha sido aposentado em 2014. Para permanecer oculto, os criminosos contam com mulas de dinheiro para recuperar o dinheiro.
O malware para jackpotting também se expandiu para famílias, com o WinPot e o Cutlet Maker disponíveis para venda na dark web por algumas centenas de dólares.
Nova torção do jackpotting
Em anos de cibersegurança, 2018 foi há muito tempo. Embora o jackpotting ainda esteja por aí, ele evoluiu para formas mais sofisticadas e perigosas. Dois anos atrás, o objetivo era transformar caixas eletrônicos em máquinas caça-níqueis pessoais. Hoje, os cibercriminosos estão focados em software.
Após uma recente onda de ataques de jackpotting na Europa, uma declaração formal da Diebold Nixdorf observa: “Alguns dos ataques bem-sucedidos mostram um novo Modus Operandi adaptado sobre como o ataque é executado. Embora o fraudador ainda esteja conectando um dispositivo externo, neste estágio de nossas investigações, parece que esse dispositivo também contém partes da pilha de software do ATM atacado. ”
Em outras palavras, os criminosos estão usando o software proprietário do Diebold Nixdorf para ajudar a habilitar ataques.
“A variante caixa preta do jackpotting não utiliza a pilha de software do caixa eletrônico para distribuir dinheiro do terminal. Em vez disso, o fraudador conecta seu próprio dispositivo, a caixa preta, ao distribuidor e direciona a comunicação para o dispositivo de manuseio de dinheiro diretamente ”, acrescenta o comunicado Diebold Nixdorf.
Como relata o Ars Technica , a boa notícia é que, até agora, o novo ataque de jackpotting não está roubando os dados do cartão do caixa eletrônico, apenas o dinheiro. Mas a má notícia, que tem implicações de muito mais alcance, é que “os invasores parecem ter em mãos um software proprietário que torna os ataques mais eficazes”.
Como o jackpotting se conecta ao software proprietário e à cibersegurança
Os caixas eletrônicos fazem parte do grande coletivo que compõe a IoT. O jackpotting criminoso que está usando as pilhas de software proprietário da Diebold Nixdorf como um possível vetor de ataque deve fornecer um alerta para a IoT em geral.
Relatórios sobre o jackpotting de caixas eletrônicos usando pilhas de software mostram uma semelhança: os criminosos visavam os caixas eletrônicos Diebold Nixdorf. Por quê? A resposta simples é que a maioria dos caixas eletrônicos são Diebold e podem ser encontrados em toda a Europa. Mais fortuito para os criminosos, entretanto, é que, como o software proprietário é usado em todas as máquinas, essa tática pode ser usada com confiabilidade continuamente.
Isso também vale para dispositivos IoT. Cada dispositivo IoT usado em instalações corporativas ou residenciais – o que é especialmente importante porque milhões de pessoas continuam trabalhando remotamente – usa o software proprietário do fabricante. Isso, por sua vez, significa que você pode estar lidando com dezenas de sistemas de software diferentes para proteger, corrigir e atualizar. Isso em si é uma tarefa árdua.
Portanto, se os criminosos cibernéticos têm acesso a partes da pilha de software de um dispositivo IoT, eles podem usá-lo para facilitar os ataques a esse dispositivo específico. Se o dispositivo IoT estiver conectado à rede corporativa, ele oferece uma porta aberta para os hackers. Dez dispositivos IoT em um escritório podem fornecer a porta de entrada para dez grupos diferentes de cibercriminosos, que podem ter agendas diferentes.
O problema das máquinas de votação
Não são apenas os dados e redes de negócios que estão em risco. A IoT controla cidades inteligentes e infraestrutura crítica. E os dispositivos nem precisam estar conectados à Internet para serem direcionados. Assim como a Diebold é uma das principais marcas de caixas eletrônicos, também foi uma das principais fabricantes de urnas eletrônicas americanas. Embora Diebold não esteja mais no negócio de máquinas de votação, as máquinas mais antigas tendem a permanecer no campo .
“É bem sabido que os sistemas de votação atuais, como qualquer hardware e software executado em plataformas convencionais de uso geral, podem ser comprometidos na prática”, relata a Defcon Voting Village após um estudo de 2019 coberto pela Wired . “No entanto, é notável – e especialmente decepcionante – que muitas das vulnerabilidades específicas relatadas mais de uma década antes … ainda estão presentes nesses sistemas hoje.”
Espere que os criminosos aproveitem o uso de software proprietário para tornar a próxima rodada de ataques mais fácil e financeiramente viável. Além disso, esteja ciente de como essas mesmas táticas podem ser transferidas de caixas eletrônicos para outros dispositivos IoT, tirando proveito de práticas deficientes de segurança cibernética.
Fonte: https://securityintelligence.com/articles/jackpotting-atm-security/
