Enfrentando los ciberataques en redes de ATMs

CYBERSECURITY YOU

CAN TRUST

www.s21sec.com

Enfrentando los

ciberataques en

redes de ATMs

INDEX

• Seguridad ATMAtaques DirigidosRetos de Gestión

• Proteger una red de ATMsEnfoque IT vs OT¿Dónde encajan los ATMs?¿Cómo abordar la seguridad de los ATMs?

SEGURIDAD ATM

ATMs: Objetivo de ataques

Los ATMs son objetivos muy atractivos para los atacantes:

• Siempre disponen de dinero en metálico, se rellenan periódicamente

• Manejan información sensible: Tarjetas de Crédito/Débito y PINs

• Poco vigilados o atendidos

• Escasas medidas de seguridad lógica

Múltiples vectores de ataque:

• Ataques Físicos

• Ataques Lógicos (Malware)

• Ataques Lógico-Físicos (Malware + Acceso Físico al ATM)

ALTO COMPONENTE REGIONAL EN LOS ATAQUES

Mantenimiento costoso

Falta de estandarización de los

entornos ATM:

• Falta de control sobre el SW y

HW desplegados

• Procesos de despliegue y

mantenimiento costosos y con

afectación del servicio

• Gestión del Cambio no

controlada -> múltiples actores

(terceros) con permisos de

administración

Múltiples sistemas de gestión:

• Visibilidad segmentada

• Aumento de costes

• Complejidad de gestión

Requerimientos de

Cumplimiento Normativo – PCI

Ataque lógico-físico (Tyupkin / Ploutus)

TARGET

Instituciones Financieras

Latam, Europa & Asia

Pérdidas acumuladas de Millones

de dólares

OBJETIVO

Fin:

Extraer dinero directamente del

dispensador del ATM

Vector:

Manipulación de Disco Duro

Infección Malware

MODUS OPERANDI

• Acceso físico al Top-Box del

ATM

• Boot desde dispositivo externo

• Desactivar SW de seguridad e

infectar con malware

• Reiniciar el ATM y arrancar el

malware

• Esperar comandos desde Pin-

Pad para tomar control del

dispensador

Ataque lógico-físico

GREENDISPENSER

Malware detectado en cajeros automáticos en méxico

“GreenDispenser” permite extraer dinero directamente de los bancos sin

intervención de los usuarios.

SUCEFUL

Malware para cajeros automáticos que roba tarjetas bancarias

“Suceful” su finalidad es copiar los datos de las tarjetas bancarias de las

víctimas y retenerlas en la máquina para que el ciberdelincuente pueda

robarlas físicamente.

http://www.poderpda.com/investigacion-y-desarrollo/malware-detectado-cajeros-automaticos-mexico/

http://computerhoy.com/noticias/software/malware-cajeros-automaticos-que-roba-tarjetas-bancarias-34241

Advanced Persistent Threat (Carbanak)

TARGET

+ 100 Instituciones Financieras

+ 30 países

Pérdidas acumuladas de

Millones de dólares

OBJETIVO

Fin:

Extraer dinero directamente del

dispensador del ATM

Vector:

Alteración de SW legítimo

Infección Malware

MODUS OPERANDI

• Infección de equipos de sucursal:

spear phishing & drive-by web attack

• Escalada de privilegios y movimiento

lateral

• Espionaje y aprendizaje de

herramientas y procedimientos de

trabajo

• Acceso a la infraestructura de

gestión para obtener control de los

ATMs

• Infección malware ATM para cambiar

la denominación de los billetes

• Infección malware ATM para ejecutar

comandos remotos de retirada de

efectivo

Referencia: http://securityblog.s21sec.com/2015/02/carbanak-apt-cyberattack-targeting-atms.html

Advanced Persistent Threat

CARBANAK, METEL, GCMAN

2015 - Operación carbanak: robaron 1.000 millones de dólares de 30 bancos

Estos actores atacan a organizaciones financieras mediante el uso de

reconocimiento tipo APT encubierto y malware personalizado junto con

software legítimo y nuevos esquemas innovadores para retirar dinero.

http://www.atodochip.com/2016/02/los-nuevos-ataques-la-banca-son.html

2016 - Los nuevos ataques a la Banca son Carbanak 2.0, Metel y GCMAN

LA PREGUNTAFUNDAMENTAL ES…

¿DÓNDE ENCAJANLOS ATMs?

IT & OT

01Tecnología de la información (IT) es el uso de computadoras

para almacenar, recuperar, transmitir y manipular datos o

información, a menudo en el contexto de una empresa de

negocios.

02Tecnología de la operación (OT) El hardware y software

dedicado para detector o causar cambios en procesos fisicos a

traves de monitoreo y/o control directo de dispositivos fisicos

como bombas, valvulas, etc.

Dispositivos IT vs OT – Naturalmente diferentes

SISTEMAS IT SISTEMAS OTPROPOSITO Genérico Específico

TIEMPO DE VIDA 3- 5 años +20 años

DISPONIBILIDADFalta de disponibilidad tolerable

Reinicio aceptable

24x7x365

Apagones planeados

Reinicio no tolerables

PLATAFORMA

TECNOLÓGICA

Sistemas Operativos COTS (OS)

Actualizaciones son sencillas

COTS OS con configuraciones embebidas y sistemas

propietarios

Actualizaciones dependen de los proveedores

PLATAFORMA DE

HARDWARE

HW COTS

Buen performance

Mantenimientos comunes

Propietarios

Recursos limitados

Mantenimiento frecuente

GESTIÓN DE CAMBIOSCambios aplicados de manera oportunidad y a menudo automatizada

Buenas politicas y procedimientos

Pruebas en pre-producción

Despliegue incremental

Interrupciones planificadas con semanas o meses de antelación

COMUNICACIONESBuen ancho de banda / Estable

Acceso a internet

Pobre ancho de banda / Inestable

Sin acceso a internet

UBICACIÓN Los dispositivos usalmente son locales y de fácil accesoDispositivos pueden estar aislados y remotos, requiriendo

esfuerzo fisico para alcanzarlo.

Ciberseguridad IT vs OT – Naturalmente diferentes

SYSTEMAS IT SYSTEMAS OT

PROPOSITO Datos Confidencialidad e IntegridadDisponbilidad de la función/

Confiabilidad

OBJETIVO DE LOS

ATAQUES

Información, Movimientos Laterales, Uso

de recursosDoS, Sabotaje, Espionaje, Fraude

VECTORES DE

ATAQUE

Navegación Web

E-mail

Intrusión física

Intrusión de red

TECNICAS DE ATAQUE Amplia audiencia, dirigida Altamente sofisticada & dirigida

CONCIENTIZACIÓN Buena, para sectores públicos y privados Generalmente pobre

¿CÓMO ABORDAR DE LA SEGURIDAD DE LOSATMs?

CRUZANDO EL ABISMO

SEGURIDAD DE

LA

INFORMACIÓN

OPERACIONES

ATMsHI!

Paso 1: Entender el ambiente

✓ HW Legacy

✓ Sistemas operativos obsoletos

✓ Accesibilidad física

✓ Muchos actores con privilegios

de administrador

RETOS

✓ Dispositivos de propósito

especificos

✓ HW & SW estáticos

✓ Sin acceso a internet *

VENTAJAS

Paso 2: Entender las amenazas

Paso 3: Entender las tecnologías

“Presunción de inocencia”

PERMITIDO a menos que se pruebe que es

malicioso

“Presunción de culpabilidad”

DENEGAR a menos que se pruebe que es requerido y

legitimo

SEGURIDAD DE ENDPOINT GENÉRICA SEGURIDAD ATM

Encripción de disco duro completa

Protección de integridad de

archivos

Listas Blancasde aplicación

Encripción de discos

Prevenciónde pérdida

de datos

Monitoreo de comportamiento

Escaneo de firmas

Paso 4: Aplicar una protección integral

Communications Protection

Hardware Protection

File Integrity Protection

Application

Whitelisting

Full Disk

Encryption

✓ Bloquear ejecuciones de

malware

✓ Bloquear infecciones de

HW


archivos

✓ Bloquear a ataques de

disco duro


red

Paso 5: monitorear la seguridad…

…Y REACCIONAR!

CONCLUSIONES

Conclusiones

Los sistemas IT &

OT son diferentes

por naturaleza

“ATMs son

tecnologías

operacionales”

Necesitamos

entender el

ambiente &

amenazas –

Cerrar el GAP

con Securidad de

la información

Los enfoques de

ciberseguridad IT

& OT son

diferentes– “Usar

el martillo

correcto”

¡MUCHAS GRACIAS!

OFFICESMadrid

C/Ramírez de Arellano, 21, CP 28043

Pamplona

P.E. La Muga, CP 31160, Orcoyen

Barcelona

C/Tarragona, 141-157, Piso 14, CP 08014

San Sebastián

P.E. Zuatzu, Ed. Urgull, 2º, CP 20018

León

Edificio CEBT, Calle Santos Ovejero 1. Oficina PB08

Bilbao

C/ Camino de LaidaEdificio 207, Bloque B 1º planta

Vitoria - Gasteiz

Edificio AzucareraAvda. de los Huetos 75, oficina 38

Lisboa

Rua do Viriato, 13B, 4º Andar. 1050-233, PT

Porto

Lugar do Espido, via norte4470-177. Maia

Ciudad de Mexico

Calle Río Pánuco, 108. Colonia Renacimiento, Ciudad de México

linkedin.com/company/s21sec

facebook.com/pages/S21sec

twitter.com/@S21sec

instagram.com/s21_sec

www.s21sec.com

Enfrentando los ciberataques en redes de ATMs

Documents

Transcript of Enfrentando los ciberataques en redes de ATMs