El malware a cajeros automáticos y TPVs se «recupera» tras el covid-19 y los ataques crecen

En 2020, el número de ataques a cajeros automáticos y terminales de punto de venta disminuyó significativamente debido a la pandemia. Ahora, con el regreso de los antiguos hábitos de consumo, la actividad de los delincuentes vuelve a aumentar. HydraPoS y AbaddonPoS son las familias de malware más extendidas en 2022, representando aproximadamente el 71% de todas las detecciones. En el caso de los cajeros automáticos, el malware más activo es Ploutus, que representa el 3% de todas las detecciones en los primeros ocho meses de 2022. Estas y otras conclusiones forman parte de un nuevo informe sobre el malware para cajeros automáticos y TPV publicado por Kaspersky. 

Los ciberdelincuentes atacan los sistemas integrados utilizados en cajeros automáticos y terminales de punto de venta (TPV) para robar dinero en efectivo, credenciales de tarjetas de crédito y datos personales, y penetran en los sistemas para hacerse con el control de todos los dispositivos de una red, y los atacantes pueden obtener miles de dólares de la noche a la mañana. Muchas de las versiones de Windows utilizadas en los cajeros automáticos finalizaron su vida útil hace tiempo y pueden ser un objetivo fácil, mientras que los terminales de punto de venta son utilizados por muchas empresas con un bajo nivel de madurez en materia de ciberseguridad.

Un repaso a las cifras: la actividad de los atacantes vuelve a los niveles anteriores a la pandemia

Cuando llegó la pandemia, el número de ataques se redujo drásticamente en comparación con el año anterior: de aproximadamente 8.000 en 2019 a 5.000 en 2020. Según la evaluación de los expertos, esto se produjo por varias razones, como la reducción del número total de cajeros automáticos en todo el mundo, su cierre durante las restricciones de la pandemia, así como la reducción del gasto de la gente en general. Como consecuencia, los atacantes vieron cómo se reducía su mercado en cuanto al número de sus objetivos.

Actualmente, las restricciones se han suavizado mucho, los antiguos patrones de gasto han vuelto y, por tanto, la actividad de los actores de las amenazas se está acelerando. En 2021, el número de dispositivos encontrados con malware para cajeros automáticos y terminales de punto de venta aumentó un 39% en comparación con el año anterior. En los primeros ocho meses de 2022, el número creció un 19% en comparación con el mismo período de 2020, y casi un 4% en comparación con 2021. En total, 4173 dispositivos fueron atacados entre enero y agosto de 2022.

Dada esta tendencia, los expertos esperan que el número de ataques a los dispositivos ATM/PoS aumente aún más en el cuarto trimestre de 2022.

El malware para TPVs es el más extendido

HydraPoS y AbaddonPoS representan aproximadamente el 71% de todas las detecciones de malware para cajeros y TPV en 2020-2022, con un 36% y un 35%, respectivamente. El líder de la clasificación, HydraPoS, es originario de Brasil y es conocido por clonar tarjetas de crédito. Según los informes del Portal de Inteligencia de Amenazas de Kaspersky, esta misma familia fue utilizada en ataques que involucran ingeniería social.

«Hay diferentes técnicas. Dependen de quién realice el ataque y de la familia que se utilice. Los atacantes hacen llamadas telefónicas o incluso acuden a las oficinas de las víctimas. Se hacen pasar por un empleado de un banco o de una compañía de tarjetas de crédito e intentan convencer a la víctima de que instale el malware como si fuera una actualización del sistema», comenta Fabio Assolini, jefe del Centro de Análisis de América Latina de Kaspersky.

FamiliaCuota de detecciones
1HydraPoS36%
2AbaddonPoS35%
3Ploutus3%
4RawPoS2%
5Prilex2%

Las familias de malware ATM/PoS más activas en 2022 por cuota de detecciones

El TOP-5 también incluye a Ploutus (3%), la familia de malware utilizada para modificar el software legítimo y la escalada de privilegios para controlar los cajeros automáticos y obtener privilegios administrativos que permitan a los delincuentes hacerse con los cajeros automáticos a la carta. RawPoS (el malware capaz de extraer la totalidad de los datos de la banda magnética de la memoria volátil) y Prilex[U1]  (el malware que abusa de los procesos relacionados con el software PoS y las transacciones de las tarjetas de crédito y débito), representan el 2% de cada uno. Las otras 61 familias y modificaciones analizadas representan menos del 2% por cada una.

«El malware de los TPVs está más extendido que el de los cajeros automáticos porque permite un acceso bastante fácil al dinero. Si los cajeros automáticos suelen estar bastante bien protegidos, los propietarios de cafeterías, restaurantes y tiendas a menudo ni siquiera piensan en la ciberseguridad de sus terminales de pago. Esto los convierte en un objetivo para los atacantes. Además, surgen nuevos modelos de negocio delictivos, como el malware de servicio, que reducen el nivel de conocimientos de los posibles actores de las amenazas», explica Fabio Assolini.

Para mantener la seguridad de los sistemas y datos integrados, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:

  • Utilizar una solución multicapa que proporcione una selección óptima de capas de protección para ofrecer el mejor nivel de seguridad posible para dispositivos de distinta potencia y con diferentes escenarios de implantación.
  • Implantar técnicas de autoprotección en los módulos PoS, como la protección disponible en nuestro SDK de Kaspersky, con el objetivo de evitar que el código malicioso altere las transacciones gestionadas por dichos módulos.
  • Proteger los sistemas más antiguos con una protección actualizada. Las soluciones deben estar optimizadas para funcionar con plena funcionalidad en versiones antiguas de Windows, así como en las familias más nuevas de Windows. Esto permite a la empresa estar segura de que se le proporcionará soporte total para las familias más antiguas en un futuro previsible, y tener la oportunidad de actualizar en cualquier momento que sea necesario.
  • Instalar una solución de seguridad que proteja los dispositivos de diferentes vectores de ataque, como Kaspersky Embedded Systems Security. Si el dispositivo tiene unas especificaciones del sistema extremadamente bajas, la solución de Kaspersky seguirá protegiéndolo con un escenario de Denegación por defecto.
  • Para las instituciones financieras que son víctimas de este tipo de fraude, Kaspersky recomienda el Motor de Atribución de Amenazas para ayudar a los equipos de IR a encontrar y detectar las amenazas de los cajeros automáticos y los TPV en los entornos atacados.

Proporcionar a su equipo acceso a la última inteligencia sobre amenazas (TI). El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto de acceso único para la TI de la empresa, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky durante los últimos 20 años. Para ayudar a las empresas a establecer defensas eficaces en estos tiempos turbulentos, Kaspersky ha anunciado el acceso gratuito a información independiente, continuamente actualizada y de origen global sobre los ciberataques


 [U1]Está traducida pero aun no publicada en español

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio