Ripper, un nuevo malware para cajeros y el robo de 12 millones de baths

La pasada semana los investigadores de FireEye detectaron una nueva
muestra de malware para cajeros bancarios, que empleaba interesantes
y novedosas técnicas. Por si fuera poco, todo parece indicar que fue
empleado para robar 12 millones de baths (moneda tailandesa) de cajeros en Tailandia.

La nueva muestra de malware, bautizada como Ripper (por el nombre del
proyecto “ATMRIPPER” identificado en la muestra) se subió por primera
vez a VirusTotal el pasado 23 de agosto, desde una dirección IP de
Tailandia. Poco después el periódico Bangkok Post anunciaba el robo
de 12 millones de baths (algo más de 310.000 euros) desde 21 cajeros
bancarios en seis provincias de Tailandia.

Los investigadores de FireEye han publicado un interesante informe en el
que analizan este nuevo malware y documentan indicadores que sugieren
que es el responsable del robo desde los cajeros a los bancos
tailandeses.

No es la primera vez que los cajeros bancarios, también conocidos por
sus siglas en inglés ATM (de “Automated Teller Machine”), se ven
afectados por algún malware. Esta nueva muestra guarda ciertas
semejanzas con especímenes anteriores. Atacan a la misma marca de cajero
automático; la técnica utilizada para expulsar el dinero sigue la misma
estrategia (ya documentada) realizado por el Padpin (Tyupkin), SUCEFUL y
GreenDispenser; es capaz de controlar el lector de tarjetas para leer o
expulsar la tarjeta bajo demanda; puede desactivar la interfaz de red
local; utiliza la herramienta de borrado seguro ‘sdelete’ para eliminar
evidencias forenses; impone un límite de 40 billetes por retirada (que
es el máximo permitido por el fabricante del cajero).

Pero a su vez también incluye nuevas características y funcionalidades,
como que por primera vez se dirige a tres de los principales fabricantes
de cajeros automáticos de todo el mundo y que además es capaz de
interactuar con el cajero mediante una tarjeta de fabricación especial
con un chip EMV que sirve como mecanismo de autenticación. Aunque esta
técnica ya fue utilizada por la familia Skimmer, es una funcionalidad
poco habitual.

FireEye señala que Ripper puede ser el responsable del robo debido a que
la muestra fue enviada a VirusTotal desde Tailandia, país en el que se
realizaron los robos (mediante acceso físico al cajero). Los robos se
registraron en agosto de 2016 y la muestra analizada contiene un
ejecutable PE con fecha de compilación de julio de 2016. Todos los
cajeros eran de la marca NCR, una de las tres para las que está diseñado
Ripper. Además algunas fuentes señalaron que el malware desconectaba el
cajero de la red y que requería un cajero con lector de tarjetas con
chip, funcionalidades incluidas entre las características de este
malware.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/09/ripper-un-nuevo-malware-para-cajeros-y.html