Grupo cybercriminoso Cobalt estão agora concentrando seus esforços nos bancos para roubar dinheiro diretamente das ATMs com ataques jackpotting.

Especialistas em segurança estão ajudando a mudança de tática para as organizações criminosas que têm como alvo as ATMs e credenciais de bancos online. 

Crooks estão agora concentrando seus esforços nas margens na tentativa de roubar dinheiro diretamente das ATMs.

Nos últimos meses, os criminosos alvo máquinas ATM em Taiwan e Tailândia , em ambos os casos, criminosos usaram um malwares para infectar a máquina e instruí-los sobre cuspir dinheiro na demanda.Os principais fabricantes de ATM, Diebold Nixdorf e NCR Corp., confirmou estar ciente dos ataques ATM e já tinha vindo a trabalhar com seus clientes para mitigar a ameaça.

"Temos vindo a trabalhar activamente com os clientes, incluindo aqueles que foram afetados, bem como o desenvolvimento de soluções de segurança proativas e estratégias para ajudar a prevenir e minimizar o impacto desses ataques", disse Owen selvagem, diretor de marketing global da NCR por fraude e de segurança da empresa .

Esta técnica é conhecida como  ATM jackpotting , o FBI alertou bancos norte-americanos dos ataques potenciais.

O FBI confirmou em um boletim no início deste mês que ele está "monitorando relatórios emergentes que indicam que com bons recursos e organizado atores cibernéticos maliciosos têm intenções para atingir sector financeiro os EUA."

De acordo com a aplicação da lei, o malware usado no ataque poderia ser um produto da quadrilha Buhtrap ATM ,  que roubou 1,8 bilhões de rublos (US $ 28 milhões) de bancos russos, entre agosto de 2015 e janeiro 2016.

A empresa de segurança cibernética Grupo-IB que investigou a série de ATM ataque jackpotting confirmou que os criminosos têm ATMs remotamente infectado com malware em mais de doze países da Europa este ano. O nome de bancos visados ​​não foi divulgado, mas os pesquisadores confirmaram que as vítimas foram localizadas na Armênia, Bulgária, Estónia, Geórgia, Bielorrússia, Quirguistão, Moldávia, Espanha, Polónia, Holanda, Roménia, Reino Unido, Rússia e Malásia.

De acordo com o Grupo-IB, criminosos têm sido alvo de ATMs durante pelo menos cinco anos, mas a recente onda de ataques na maior parte direcionados pequeno número de ATMs porque os criminosos têm de acesso físico às máquinas.

"Para realizar um ataque lógico, hackers acesso à rede local de um banco, que é posteriormente utilizado para obter o controle total sobre ATMs em seu sistema. Máquinas de dinheiro são, então, acionado remotamente para dispensar dinheiro, permitindo que os criminosos para roubar grandes quantidades com relativa facilidade. Com total controle sobre ATMs, os criminosos podem escolher o tempo de ataque exato para saquear ATMs recém cheios. ", Afirma o relatório do Grupo-IB. "Isto resulta em milhões de dólares perdidos, como no caso do primeiro banco. Dito isto, esses ataques não exigem o desenvolvimento de software avançado caro - uma quantidade significativa de ferramentas utilizadas pelos hackers é amplamente disponível a partir de fontes públicas, como será ainda abordado mais adiante neste relatório. "

Grupo-IB atribuiu os ataques contra os caixas eletrônicos em toda a Europa a um único grupo criminoso, chamado  Cobalt .

O grupo lançou ataques de phishing lança com um anexo malicioso para infectar sistemas nos bancos alvo. Os e-mails pretende vir do Banco Central Europeu, a fabricante de ATM Wincor Nixdorf, ou de outros bancos.

"Os criminosos enviar e-mails com anexos que contêm exploits e arquivos protegidos por senha com arquivos executáveis. Nos ataques, e-mails de phishing foram enviados a partir de servidores virtuais, que tinha instalado um script de correio anônimo "yaPosylalka v.2.0" (outro nome do serviço é "alexusMailer v2.0") desenvolvido por ciber-criminosos de língua russa. "Continua grupo-IB.

O grupo criminoso usar Cobalt Strike, um programa legítimo projetado para executar testes de penetração e a ferramenta Mimikatz comprometer domínio e contas locais.

Os pesquisadores do Grupo-IB acreditar que gangues Cobalt está ligada a Buhtrap,

"Especialistas Grupo-IB acreditar que logo após a prisão do Buhtrap grupo em Maio sua botnet foi vendida para outros criminosos que estão continuando seu uso para roubar dinheiro de contas corporativas. Dito isto, de acordo com a nossa análise de ataques de cobalto em caixas eletrônicos de bancos russos e europeus, os métodos utilizados pelos criminosos para entregar e-mails de phishing e obter o controle sobre um controlador de domínio são idênticos aos utilizados pela Buhtrap grupo. Supostamente, pelo menos uma parte do Buhtrapgrupo tornaram-se membros de cobalto, ou, mais provavelmente Buhtrap membros do núcleo mudaram seu foco para ataques a caixas eletrônicos. "Explica Grupo-IB.

Eu sugiro a leitura do relatório do Grupo-IB na turma da Cobalt , ela é cheia de detalhes que são muito úteis para evitar esse tipo de ataques.

Pierluigi Paganini

( Assuntos de Segurança  - quadrilha Cobalt, ataques jackpotting)

http://securityaffairs.co/wordpress/53758/cyber-crime/jackpotting-attacks.html