I ricercatori di Kaspersky Lab hanno scoperto un nuovo malware che prende di mira gli ATM, venduto pubblicamente nel mercato DarkNet. Cutlet Maker è costituito da tre componenti e consente il “jackpotting” degli ATM una volta ottenuto l’accesso fisico alla macchina. Il toolset, che potrebbe consentire ai criminali di rubare milioni di dollari, era in vendita per soli 5.000$, dotato inoltre di una guida step-by-step
Gli ATM continuano a essere obiettivi redditizi per i criminali, che sfruttano diversi metodi per ottenere il massimo profitto possibile. Mentre alcuni fanno uso di metodi fisicamente distruttivi, ad esempio tramite strumenti per il taglio del metallo, altri scelgono le infezioni malware, che permettono loro di manipolare dall’interno i distributori automatici di denaro. Sebbene i tool nocivi per hackerare gli ATM siano conosciuti da diversi anni, l’ultima scoperta dimostra che i creatori di malware stanno investendo sempre più risorse per rendere i propri “prodotti” accessibili anche i criminali che non possiedono elevate competenze informatiche.
All’inizio di quest’anno, un partner di Kaspersky Lab ha fornito a uno dei ricercatori dell’azienda un sample nocivo precedentemente sconosciuto, presumibilmente creato per infettare i PC che operano all’interno degli ATM. I ricercatori hanno deciso di scoprire se fosse possibile acquistare questo malware o qualcosa a esso collegato nei forum underground. Una successiva ricerca degli artefatti unici del malware ha avuto successo: è stato scoperto che veniva pubblicizzato un tipo di malware per ATM in un celebre mercato nero del dark web – AlphaBay – che rispondeva alla query di ricerca e ha permesso di scoprire che il campione iniziale faceva parte di un malware-kit commerciale creato per effettuare il jackpot degli ATM. Un post pubblico del venditore del malware, scoperto dai ricercatori, non solo conteneva la descrizione del malware e le istruzioni su come ottenerlo, ma forniva anche una dettagliata guida step-by-step su come usare il malware-kit per lanciare attacchi, con istruzioni e video tutorial.
Secondo quanto emerso dalla ricerca, il toolkit del malware è composto da tre elementi:
- Il software Cutlet Maker, che costituisce il modulo principale e consente di comunicare con il distributore di denaro dell’ATM;
- Un programma c0decalc, progettato per generare una password che consente di avviare l’applicazione Cutlet Maker e proteggerla da un utilizzo non autorizzato.
- L’applicazione Stimulator, che permette ai criminali di risparmiare tempo nell’identificazione dello stato attuale dei cassetti per il contante degli ATM. Installando questa app, gli hacker ottengono informazioni precise sulla valuta, il valore e il numero di banconote contenute in ciascun cassetto e possono scegliere quello contenente la cifra più alta, invece di ritirare alla cieca da ciascuno di essi.
Per iniziare il furto, i criminali devono ottenere accesso diretto all’ATM ed effettuare l’upload del malware tramite la porta USB, collegando un dispositivo contenente il toolkit del software. Per prima cosa, i criminali installano Cutlet Maker. Dato che è protetto da password, devono usare un programma c0decalc, installato su un altro dispositivo, come un laptop o un tablet – una sorta di protezione del “copyright” installata dagli autori di Cutlet Maker per impedire ad altri criminali di usarlo gratis. Una volta generato il codice, i criminali entrano nell’interfaccia di Cutlet Maker per iniziare il processo di prelievo del denaro.
Cutlet Maker è in vendita dal 27 marzo 2017, tuttavia, secondo quanto scoperto dai ricercatori, il primo sample scoperto dalla comunità di sicurezza risale a giugno 2016. All’epoca era stato sottoposto a un servizio multi-scanner pubblico dall’Ucraina, ma è stato successivamente inviato anche da altri Paesi. Non è chiaro se il malware sia stato effettivamente utilizzato per attacchi in the wild, tuttavia le istruzioni fornite insieme al malware-kit contenevano video presentati dagli autori come prove reali dell’efficacia del malware. Non è noto chi si celi dietro questo malware, tuttavia i potenziali venditori del toolkit, la lingua, la grammatica e gli errori stilistici fanno pensare ad autori non di lingua inglese.
“Cutlet Maker non richiede quasi alcuna conoscenza avanzata o competenze IT professionali ai criminali, trasformando l’hacking degli ATM da un’operazione offensiva altamente sofisticata in un nuovo modo illegale di ottenere denaro utilizzabile da chiunque possieda qualche migliaio di dollari per acquistare il malware. Questo potrebbe costituire una pericolosa minaccia per le organizzazioni finanziarie. Tuttavia, la questione più importante è che, durante le operazioni, Cutlet Maker interagisce con il software e l’hardware degli ATM senza incontrare quasi alcun ostacolo di sicurezza. Questa situazione dovrebbe essere cambiata per proteggere questi dispositivi”, ha commentato Konstantin Zykov, Security Researcher di Kaspersky Lab.
Per proteggere gli ATM dagli attacchi che sfruttano tool nocivi come Cutlet Maker e garantire una sicurezza fisica affidabile degli ATM, gli esperti di Kaspersky Lab consigliano ai team di sicurezza delle organizzazioni finanziarie di fare quanto segue:
- Implementare severe policy di default-deny per impedire l’avvio di qualsiasi software non autorizzato sull’ATM;
- Attivare meccanismi di controllo dei dispositivi per evitare la connessione di qualsiasi device non autorizzato;
- Usare una soluzione di sicurezza personalizzata per proteggere gli ATM dagli attacchi di malware come Cutlet Maker.
Per una migliore protezione degli ATM, Kaspersky Lab consiglia inoltre di usare una soluzione di sicurezza appropriata, come Kaspersky Embedded Systems Security.
I prodotti Kaspersky Lab rilevano e bloccano con successo il malware Cutlet Maker.