Els ciberdelinqüents pirategen el programari de la màquina que s’encarrega d’enviar ordres al dispensador d’efectiu i de saltar-se l’ordre obligatòria del banc.

L’FBI ha emès una alerta flaix d’emergència en què adverteix les institucions financeres sobre un increment notable de ciberatacs realitzats amb jackpots a caixers automàtics de tots els EUA.

Segons el seu advertiment, els ciberdelinqüents estan explotant la família de codi maliciós Ploutus per dispensar efectiu sense necessitat d’una targeta bancària o un compte de client.

Els ciberdelinqüents s’aprofiten de debilitats físiques i de programari als caixers per implementar directament a les màquines les seves eines malicioses, segons es fa ressò Cyberpress.

Ploutus no té com a objectiu els comptes bancaris dels clients, sinó els mateixos caixers automàtics. El programari maliciós explota la capa de programari d’Extensions per a Serveis Financers (XFS) que controla funcions de maquinari com la dispensació d’efectiu. 

Normalment, el programari dels caixers envia instruccions a XFS només després de l’autorització del banc. Però si els actors d’amenaces aconsegueixen enviar les seves ordres a aquestes extensions, poden eludir l’aprovació de les entitats financeres i activar la retirada d’efectiu no autoritzat. 

El programari maliciós té la capacitat de funcionar en màquines de diferents fabricants amb canvis mínims en el codi, que s’executen en sistemes ATM basats en el sistema operatiu Windows. 

Una vegada instal·lat,  els ciberdelinqüents obtenen control directe del dispensador, cosa que facilita operacions ràpides de retirada d’efectiu. Així, poden buidar un caixer automàtic en qüestió de minuts.

Per obtenir aquest accés físic els delinqüents obren els caixers amb claus genèriques que adquireixen en línia. Després extreuen el disc dur i li copien el codi maliciós (malware) o bé el substitueixen amb una unitat maliciosa preinstal·lada. Ploutus s’activa després del reinici del caixer. 

Què poden fer els bancs per protegir-se

L’FBI alerta que aquest tipus d’atacs de jackpotting combinen manipulació física i digital, per la qual cosa no n’hi ha prou de protegir només el programari. Recomana reforçar la seguretat física dels caixers amb panys més bons, sensors contra cops o calor, teclats protegits i una vigilància per càmeres més eficaç.

A més, aconsella aplicar mesures tècniques avançades, com ara xifrar els discos, verificar que el sistema no ha estat modificat, limitar l’ús d’USB i vigilar quins programes s’executen. Qualsevol programari desconegut o no autoritzat s’ha de considerar un senyal d’alarma i tractar-se com a possible bretxa de seguretat.

Els indicadors digitals observats a les màquines compromeses inclouen executables sospitosos com Newage.exe, Levantaito.exe, WinMonitor.exe i Anydesk1.exe. L’organisme també va identificar execucions automàtiques de registre anormals, serveis personalitzats amb noms enganyosos com a «Servei de caixer automàtic» o «Servei de dispensador» i eines d’accés remot no autoritzades com TeamViewer i AnyDesk.

Segons l’agència, des del 2020 s’han denunciat més de 1.900 incidents de jackpotting a caixers automàtics. D’aquests 700 van passar només l’any passat i van provocar pèrdues superiors als 20 milions de dòlars.