ATM Jackpotting
¿Qué es ATM Jackpotting?
ATM JackpottingAtaque en el que se obliga al dispensador de efectivo de un cajero a expulsar todo su dinero, ya sea mediante acceso físico a la cabecera o a través del compromiso de la red.
El jackpotting de cajeros fue demostrado públicamente por el fallecido Barnaby Jack en Black Hat 2010, donde hizo que máquinas Tranax y Triton escupieran efectivo en una demostración que bautizó como "Jackpotting". Los ataques modernos se dividen en dos familias.
Jackpotting físico
El grupo abre la cabecera del cajero (a menudo con una llave robada o universal), desconecta el dispensador del PC en funcionamiento y conecta un dispositivo del atacante: un portátil, una Raspberry Pi o un endoscopio médico para alcanzar el cable. Malware como Ploutus.D, Cutlet Maker (vendido como crimeware-as-a-service en la dark web por unos 5.000 dólares) o WinPot dialoga entonces con el dispensador a través del middleware XFS (eXtensions for Financial Services), emitiendo comandos de dispensación que vacían todos los casetes en minutos. La primera oleada confirmada de jackpotting en EE. UU. se produjo en enero de 2018 (alertas del Secret Service/Diebold Nixdorf).
Cash-out por red
flowchart TD A[Spear-phishing a un empleado del banco] --> B[Punto de apoyo en la red bancaria] B --> C[Alcanzar el servidor del switch<br/>de pagos AIX/Windows] C --> D[Inyectar Trojan.FastCash<br/>en el proceso del switch] D --> E[La mula inserta la tarjeta<br/>en un cajero en el extranjero] E --> F[La solicitud de retiro llega<br/>al switch comprometido] F --> G[El malware falsifica la<br/>aprobación ISO 8583] G --> H[El cajero dispensa efectivo;<br/>el saldo real de la cuenta no se toca]
FASTCash, operado por el grupo Lazarus/APT38 (Hidden Cobra / BeagleBoyz) vinculado a la RPDC, compromete el servidor de aplicaciones del switch de pagos de un banco y falsifica los mensajes de aprobación ISO 8583 para que las tarjetas mula retiren efectivo que la cuenta no puede cubrir. CISA/FBI/Tesoro lo detallaron en octubre de 2018; en un único incidente de 2017 se extrajo efectivo de cajeros en más de 30 países simultáneamente, y un incidente de 2018 abarcó 23 países, con pérdidas totales estimadas en decenas de millones de dólares.
Defensas
Sensores físicos y cerraduras más robustas en la cabecera; contraseñas de BIOS y cifrado de disco completo; allowlisting de aplicaciones en el sistema operativo del cajero; firmware del dispensador firmado y autenticado y el cifrado de extremo a extremo de XFS 3.0+ entre el PC y el dispensador; y segmentación, MFA y autenticación de mensajes (MAC) en el enlace entre el cajero y el switch.
● Ejemplos
- 01
Mulas con el kit MaaS Cutlet Maker vaciando cajeros del este de Europa en 2017-2018.
- 02
El esquema FASTCash del grupo Lazarus enviando mensajes de aprobación para drenar más de 100 millones de USD de los cajeros.
● Preguntas frecuentes
¿Qué es ATM Jackpotting?
Ataque en el que se obliga al dispensador de efectivo de un cajero a expulsar todo su dinero, ya sea mediante acceso físico a la cabecera o a través del compromiso de la red. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa ATM Jackpotting?
Ataque en el que se obliga al dispensador de efectivo de un cajero a expulsar todo su dinero, ya sea mediante acceso físico a la cabecera o a través del compromiso de la red.
¿Cómo defenderse de ATM Jackpotting?
Las defensas contra ATM Jackpotting combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ATM Jackpotting?
Nombres alternativos comunes: Jackpotting, Ataque de cash-out.