{"id":9726,"date":"2018-10-25T11:57:17","date_gmt":"2018-10-25T14:57:17","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=9726"},"modified":"2019-06-24T16:31:47","modified_gmt":"2019-06-24T19:31:47","slug":"kaspersky-lab-ataques-remotos-em-caixas-eletronicos-sao-a-nova-maneira-de-operar-contra-banco","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2018\/10\/exploits\/kaspersky-lab-ataques-remotos-em-caixas-eletronicos-sao-a-nova-maneira-de-operar-contra-banco\/","title":{"rendered":"Kaspersky Lab: ataques remotos em caixas eletr\u00f4nicos s\u00e3o a nova maneira de operar contra banco"},"content":{"rendered":"

Especialistas da Kaspersky Lab reconstroem um caso ATMitch – e descobrem uma misteriosa maneira de sacar dinheiro em caixas eletr\u00f4nicos<\/strong><\/p>\n

Um dia, os funcion\u00e1rios do banco descobriram um caixa eletr\u00f4nico vazio: n\u00e3o havia dinheiro, nem vest\u00edgios de intera\u00e7\u00e3o f\u00edsica com a m\u00e1quina, nem malware. Depois que os especialistas da Kaspersky Lab passaram algum tempo desenrolando este misterioso caso, eles n\u00e3o s\u00f3 conseguiram entender as ferramentas cibercriminosas usadas no assalto, como tamb\u00e9m reproduzir o ataque, descobrindo uma viola\u00e7\u00e3o de seguran\u00e7a no banco.<\/span><\/p>\n

Em fevereiro de 2017, a Kaspersky Lab publicou os\u00a0resultados de uma investiga\u00e7\u00e3o<\/a>\u00a0sobre misteriosos ataques sem arquivos contra bancos: criminosos usavam malware em mem\u00f3ria para infectar redes banc\u00e1rias. Mas por que eles estavam fazendo isso? O caso ATMitch nos deu toda a imagem.<\/p>\n

A investiga\u00e7\u00e3o come\u00e7ou depois que os especialistas forenses do banco recuperaram e compartilharam dois arquivos contendo logs de malware do disco r\u00edgido do ATM (kl.txt e logfile.txt) com o Kaspersky Lab. Estes foram os \u00fanicos arquivos deixados ap\u00f3s o ataque: n\u00e3o foi poss\u00edvel recuperar os execut\u00e1veis maliciosos, porque ap\u00f3s o roubo, os cibercriminosos tinham removido o malware. Mas mesmo esta pequena quantidade de dados pode ser suficiente para a Kaspersky Lab executar uma investiga\u00e7\u00e3o bem-sucedida.<\/p>\n

\"kaspersky-lab-ataques-remotos\"<\/p>\n

Apagar \/ Retrocesso<\/span><\/p>\n

Nos arquivos de log, os especialistas da Kaspersky Lab conseguiram identificar informa\u00e7\u00f5es em texto simples que os ajudaram a criar uma regra YARA para reposit\u00f3rios p\u00fablicos de malware e a encontrar uma amostra. As regras YARA – basicamente as sequ\u00eancias de pesquisa – ajudam os analistas a encontrar, agrupar e categorizar amostras de malware relacionadas e estabelecer conex\u00f5es entre elas com base em padr\u00f5es de atividade suspeita em sistemas ou redes que compartilham similaridades.<\/p>\n

Depois de um dia de espera, os especialistas encontraram uma amostra de malware desejada – “tv.dll”, ou “ATMitch”, como foi mais tarde apelidado. Foi visto duas vezes: uma no Cazaquist\u00e3o, e outra na R\u00fassia.<\/p>\n

Este malware \u00e9 instalado remotamente e executado em um ATM a partir do banco-alvo: atrav\u00e9s da administra\u00e7\u00e3o remota de m\u00e1quinas ATM. Depois de instalado e conectado ao ATM, o malware ATMitch se comunica com o caixa eletr\u00f4nico como se fosse um software leg\u00edtimo. Ele torna poss\u00edvel para os invasores realizar uma lista de comandos – como a coleta de informa\u00e7\u00f5es sobre o n\u00famero de notas nos cassetes do ATM. O que mais surpreendeu: ele fornece aos criminosos a capacidade de dispensar dinheiro a qualquer momento, com o toque de um bot\u00e3o.<\/p>\n

Normalmente criminosos come\u00e7am obtendo informa\u00e7\u00f5es sobre a quantidade de dinheiro que um dispensador tem. Depois disso, um criminoso pode enviar um comando para dispensar qualquer n\u00famero de notas de qualquer cassete. Depois de retirar dinheiro desta maneira curiosa, os criminosos s\u00f3 precisam pegar o dinheiro e ir. Um roubo de ATM como este leva apenas alguns segundos!<\/p>\n

Quem fez o ataque?<\/span><\/p>\n

Ainda n\u00e3o se sabe quem est\u00e1 por tr\u00e1s dos ataques. O uso de ferramentas de explora\u00e7\u00e3o de c\u00f3digo aberto, utilit\u00e1rios comuns do Windows e dom\u00ednios desconhecidos durante a primeira fase da opera\u00e7\u00e3o torna quase imposs\u00edvel determinar o grupo respons\u00e1vel. No entanto, “tv.dll”, usado no est\u00e1gio ATM do ataque cont\u00e9m um recurso de idioma russo, e os grupos conhecidos que poderiam caber neste perfil s\u00e3o GCMAN e Carbanak.<\/p>\n

\"kaspersky-lab-ataques-remotos2\"<\/p>\n

“Os ataques podem ainda estar ativos. Mas n\u00e3o entre em p\u00e2nico!<\/p>\n

Combater esses tipos de ataques requer um conjunto espec\u00edfico de habilidades do especialista em seguran\u00e7a que protege a organiza\u00e7\u00e3o-alvo. O sucesso da viola\u00e7\u00e3o e exfiltra\u00e7\u00e3o de dados de uma rede s\u00f3 pode ser realizado com ferramentas comuns e leg\u00edtimas; ap\u00f3s o ataque, os criminosos podem limpar todos os dados que poderiam levar \u00e0 sua detec\u00e7\u00e3o, sem deixar vest\u00edgios, nada. Para resolver estes problemas, a mem\u00f3ria forense est\u00e1 se tornando cr\u00edtica para a an\u00e1lise de malware e suas fun\u00e7\u00f5es. E como o nosso caso prova, uma resposta cuidadosamente dirigida ao incidente pode ajudar a resolver at\u00e9 mesmo o cibercrime mais bem preparado “, disse\u00a0Sergey Golovanov, Principal Security Researcher at Kaspersky Lab<\/span>.<\/p>\n

Os produtos da Kaspersky Lab detectam com sucesso as opera\u00e7\u00f5es usando as t\u00e1ticas, t\u00e9cnicas e procedimentos acima. Mais informa\u00e7\u00f5es sobre esta hist\u00f3ria e as regras de Yara para an\u00e1lise forense dos ataques sem arquivos podem ser encontradas no blog em\u00a0<\/span>Securelist.com<\/a>. Foram fornecidos detalhes t\u00e9cnicos, incluindo Indicadores de compromisso, aos clientes do\u00a0<\/span>Kaspersky Intelligence Services<\/a>.<\/span><\/p>\n

Fonte:\u00a0Kaspersky<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Especialistas da Kaspersky Lab reconstroem um caso ATMitch – e descobrem uma misteriosa maneira de sacar dinheiro em caixas eletr\u00f4nicos Um dia, os funcion\u00e1rios do banco descobriram um caixa eletr\u00f4nico vazio: n\u00e3o havia dinheiro, nem vest\u00edgios de intera\u00e7\u00e3o f\u00edsica com a m\u00e1quina, nem malware. Depois que os especialistas da Kaspersky Lab passaram algum tempo desenrolando […]<\/p>\n","protected":false},"author":2,"featured_media":9728,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99,101],"tags":[],"class_list":["post-9726","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades","category-tutorial-backtrack"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=9726"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9726\/revisions"}],"predecessor-version":[{"id":10233,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9726\/revisions\/10233"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/9728"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=9726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=9726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=9726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}