Kaspersky Lab mette in guardia contro Cutlet Maker, il nuovo malware-kit per ATM pensato per criminali non professionisti.
I ricercatori di Kaspersky Lab hanno scoperto un nuovo malware che prende di mira gli ATM, venduto pubblicamente nel mercato DarkNet. Cutlet Maker è costituito da tre componenti e consente il “jackpotting” degli ATM una volta ottenuto l’accesso fisico alla macchina. Il toolset, che potrebbe consentire ai criminali di rubare milioni di dollari, era in vendita per soli 5.000 dollari, dotato tra l’altro di una guida step-by-step.
Sebbene i tool nocivi per hackerare gli ATM siano conosciuti da diversi anni, l’ultima scoperta dimostra che i creatori di malware stanno investendo sempre più risorse per rendere i propri “prodotti” accessibili anche i criminali che non possiedono elevate competenze informatiche.
Un partner di Kaspersky Lab ha recentemente fornito all’azienda un sample nocivo precedentemente sconosciuto, presumibilmente creato per infettare i PC che operano all’interno degli ATM. Una successiva ricerca ha rivelato che veniva pubblicizzato un tipo di malware per ATM in un celebre mercato nero del dark web – AlphaBay – che rispondeva alla query di ricerca. Il campione, si è scoperto, faceva parte di un malware-kit commerciale creato per effettuare il jackpot degli ATM. Un post pubblico del venditore del malware, scoperto dai ricercatori, non solo conteneva la descrizione del malware e le istruzioni su come ottenerlo, ma forniva anche una dettagliata guida step-by-step su come usare il malware-kit per lanciare attacchi, con istruzioni e video tutorial.
Secondo quanto emerso dalla ricerca, il toolkit del malware è composto da tre elementi:
1. Il software Cutlet Maker, che costituisce il modulo principale e consente di comunicare con il distributore di denaro dell’ATM;
2. Un programma c0decalc, progettato per generare una password che consente di avviare l’applicazione Cutlet Maker e proteggerla da un utilizzo non autorizzato.
3. L’applicazione Stimulator, che permette ai criminali di risparmiare tempo nell’identificazione dello stato attuale dei cassetti per il contante degli ATM. Installando questa app, gli hacker ottengono informazioni precise sulla valuta, il valore e il numero di banconote contenute in ciascun cassetto e possono scegliere quello contenente la cifra più alta, invece di ritirare alla cieca da ciascuno di essi.
Per iniziare il furto, i criminali devono ottenere accesso diretto all’ATM ed effettuare l’upload del malware tramite la porta USB, collegando un dispositivo contenente il toolkit del software. Per prima cosa, i criminali installano Cutlet Maker. Dato che è protetto da password, devono usare un programma c0decalc, installato su un altro dispositivo, come un laptop o un tablet – una sorta di protezione del “copyright” installata dagli autori di Cutlet Maker per impedire ad altri criminali di usarlo gratis. Una volta generato il codice, i criminali entrano nell’interfaccia di Cutlet Maker per iniziare il processo di prelievo del denaro.
Cutlet Maker è in vendita dal 27 marzo 2017, tuttavia, secondo quanto rilevato dai ricercatori, il primo sample scoperto dalla comunità di sicurezza risale a giugno 2016.
Per proteggere gli ATM, Kaspersky Lab consiglia di:
- Implementare severe policy di default-deny per impedire l’avvio di qualsiasi software non autorizzato sull’ATM
- Attivare meccanismi di controllo dei dispositivi per evitare la connessione di qualsiasi device non autorizzato
- Usare una soluzione di sicurezza personalizzata per proteggere gli ATM dagli attacchi di malware come Cutlet Maker.
Per una migliore protezione degli ATM, Kaspersky Lab consiglia inoltre di usare una soluzione di sicurezza appropriata, come Kaspersky Embedded Systems Security.
Konstantin Zykov, Security Researcher di Kaspersky Lab
Cutlet Maker non richiede quasi alcuna conoscenza avanzata o competenze IT professionali ai criminali, trasformando l’hacking degli ATM da un’operazione offensiva altamente sofisticata in un nuovo modo illegale di ottenere denaro utilizzabile da chiunque possieda qualche migliaio di dollari per acquistare il malware. Questo potrebbe costituire una pericolosa minaccia per le organizzazioni finanziarie. Tuttavia, la questione più importante è che, durante le operazioni, Cutlet Maker interagisce con il software e l’hardware degli ATM senza incontrare quasi alcun ostacolo di sicurezza. Questa situazione dovrebbe essere cambiata per proteggere questi dispositivi.