Hackers ha logrado acceder a 8 diferentes cajeros automáticos en Rusia y robar hasta $800,000 de una sola noche. El método utilizado corresponde a una de las nuevas técnicas sofisticadas en cuanto a malware se refiere, en el que el código malicioso es capaz de autodestruirse luego de cumplir con su cometido. Los expertos en seguridad han comenzado a llamar a este tipo malware como «fileless» ya que en efecto deja cero rastros luego de atacar.
Los atracos a cajeros ATM han sido perpetrados por grupos de hackers que han estado activos por años. Su más reciente ataque, data de 2016 cuando el grupo logró acceder a varias entidades bancarias y agencias del gobierno en al menos 40 países.
El problema es que las técnicas sofisticadas que utilizan, dejan el mínimo de rastros en los servidores infectados, lo que hace complicado a los investigadores descubrir el origen de los ataques. Sin embargo, Kaspersky Lab, una de las entidades que investiga los recientes ataques a los ATM en Rusia cree haber descubierto el esquema de operaciones de este grupo de hackers.
Kaspersky Lab explica en su informe que los hackers irrumpieron primero en varias redes del sistema bancario utilizando varios exploits conocidos, donde lograron legitimar su malware para Windows y PowerShell logrando escalar permisos para acceder a los sistemas conectados.
El objetivo era controlar los sistemas que controlan las redes de los ATM. Luego, los hackers utilizaron software que envió instrucciones remotas para conectarse a los ATMs. Transfirieron así, el fileless malware al que los investigadores han llamado ATMish a las máquinas ATM y desde ahí ejecutaron una serie de comandos para extraer el dinero.
Por la naturaleza de ATMish, es difícil saber cuántos cajeros automáticos han sido vaciados utilizando esta técnica pues al terminar de operar borra todo rastro. Sin embargo en uno de los ATMs afectados se encontró el archivo «tv.dll» que posiblemente fue dejado por error. Gracias a este, los investigadores han podido entender un poco más sobre el funcionamiento de esta técnica, más no aseguran que estén cerca de encontrar a los hackers responsable.
ATMish no es el primer malware que ataca los cajeros automáticos ni mucho menos el que intenta vaciarlos. Otros como GreenDispenser, Alice o Ploutus han conseguido vulnerar la seguridad de los ATMs, pero ninguno opera de la forma en que lo hace ATMish borrando su rastro tras el paso.