Enfrentando los ciberataques en redes de ATMs
Transcript of Enfrentando los ciberataques en redes de ATMs
CYBERSECURITY YOU
CAN TRUST
www.s21sec.com
Enfrentando los
ciberataques en
redes de ATMs
INDEX
• Seguridad ATMAtaques DirigidosRetos de Gestión
• Proteger una red de ATMsEnfoque IT vs OT¿Dónde encajan los ATMs?¿Cómo abordar la seguridad de los ATMs?
SEGURIDAD ATM
ATMs: Objetivo de ataques
Los ATMs son objetivos muy atractivos para los atacantes:
• Siempre disponen de dinero en metálico, se rellenan periódicamente
• Manejan información sensible: Tarjetas de Crédito/Débito y PINs
• Poco vigilados o atendidos
• Escasas medidas de seguridad lógica
Múltiples vectores de ataque:
• Ataques Físicos
• Ataques Lógicos (Malware)
• Ataques Lógico-Físicos (Malware + Acceso Físico al ATM)
ALTO COMPONENTE REGIONAL EN LOS ATAQUES
Mantenimiento costoso
Falta de estandarización de los
entornos ATM:
• Falta de control sobre el SW y
HW desplegados
• Procesos de despliegue y
mantenimiento costosos y con
afectación del servicio
• Gestión del Cambio no
controlada -> múltiples actores
(terceros) con permisos de
administración
Múltiples sistemas de gestión:
• Visibilidad segmentada
• Aumento de costes
• Complejidad de gestión
Requerimientos de
Cumplimiento Normativo – PCI
Ataque lógico-físico (Tyupkin / Ploutus)
TARGET
Instituciones Financieras
Latam, Europa & Asia
Pérdidas acumuladas de Millones
de dólares
OBJETIVO
Fin:
Extraer dinero directamente del
dispensador del ATM
Vector:
Manipulación de Disco Duro
Infección Malware
MODUS OPERANDI
• Acceso físico al Top-Box del
ATM
• Boot desde dispositivo externo
• Desactivar SW de seguridad e
infectar con malware
• Reiniciar el ATM y arrancar el
malware
• Esperar comandos desde Pin-
Pad para tomar control del
dispensador
Ataque lógico-físico
GREENDISPENSER
Malware detectado en cajeros automáticos en méxico
“GreenDispenser” permite extraer dinero directamente de los bancos sin
intervención de los usuarios.
SUCEFUL
Malware para cajeros automáticos que roba tarjetas bancarias
“Suceful” su finalidad es copiar los datos de las tarjetas bancarias de las
víctimas y retenerlas en la máquina para que el ciberdelincuente pueda
robarlas físicamente.
http://www.poderpda.com/investigacion-y-desarrollo/malware-detectado-cajeros-automaticos-mexico/
http://computerhoy.com/noticias/software/malware-cajeros-automaticos-que-roba-tarjetas-bancarias-34241
Advanced Persistent Threat (Carbanak)
TARGET
+ 100 Instituciones Financieras
+ 30 países
Pérdidas acumuladas de
Millones de dólares
OBJETIVO
Fin:
Extraer dinero directamente del
dispensador del ATM
Vector:
Alteración de SW legítimo
Infección Malware
MODUS OPERANDI
• Infección de equipos de sucursal:
spear phishing & drive-by web attack
• Escalada de privilegios y movimiento
lateral
• Espionaje y aprendizaje de
herramientas y procedimientos de
trabajo
• Acceso a la infraestructura de
gestión para obtener control de los
ATMs
• Infección malware ATM para cambiar
la denominación de los billetes
• Infección malware ATM para ejecutar
comandos remotos de retirada de
efectivo
Referencia: http://securityblog.s21sec.com/2015/02/carbanak-apt-cyberattack-targeting-atms.html
Advanced Persistent Threat
CARBANAK, METEL, GCMAN
2015 - Operación carbanak: robaron 1.000 millones de dólares de 30 bancos
Estos actores atacan a organizaciones financieras mediante el uso de
reconocimiento tipo APT encubierto y malware personalizado junto con
software legítimo y nuevos esquemas innovadores para retirar dinero.
http://www.atodochip.com/2016/02/los-nuevos-ataques-la-banca-son.html
2016 - Los nuevos ataques a la Banca son Carbanak 2.0, Metel y GCMAN
LA PREGUNTAFUNDAMENTAL ES…
¿DÓNDE ENCAJANLOS ATMs?
IT & OT
01Tecnología de la información (IT) es el uso de computadoras
para almacenar, recuperar, transmitir y manipular datos o
información, a menudo en el contexto de una empresa de
negocios.
02Tecnología de la operación (OT) El hardware y software
dedicado para detector o causar cambios en procesos fisicos a
traves de monitoreo y/o control directo de dispositivos fisicos
como bombas, valvulas, etc.
Dispositivos IT vs OT – Naturalmente diferentes
SISTEMAS IT SISTEMAS OTPROPOSITO Genérico Específico
TIEMPO DE VIDA 3- 5 años +20 años
DISPONIBILIDADFalta de disponibilidad tolerable
Reinicio aceptable
24x7x365
Apagones planeados
Reinicio no tolerables
PLATAFORMA
TECNOLÓGICA
Sistemas Operativos COTS (OS)
Actualizaciones son sencillas
COTS OS con configuraciones embebidas y sistemas
propietarios
Actualizaciones dependen de los proveedores
PLATAFORMA DE
HARDWARE
HW COTS
Buen performance
Mantenimientos comunes
Propietarios
Recursos limitados
Mantenimiento frecuente
GESTIÓN DE CAMBIOSCambios aplicados de manera oportunidad y a menudo automatizada
Buenas politicas y procedimientos
Pruebas en pre-producción
Despliegue incremental
Interrupciones planificadas con semanas o meses de antelación
COMUNICACIONESBuen ancho de banda / Estable
Acceso a internet
Pobre ancho de banda / Inestable
Sin acceso a internet
UBICACIÓN Los dispositivos usalmente son locales y de fácil accesoDispositivos pueden estar aislados y remotos, requiriendo
esfuerzo fisico para alcanzarlo.
Dispositivos IT vs OT – Naturalmente diferentes
SISTEMAS IT SISTEMAS OTPROPOSITO Genérico Específico
TIEMPO DE VIDA 3- 5 años +20 años
DISPONIBILIDADFalta de disponibilidad tolerable
Reinicio aceptable
24x7x365
Apagones planeados
Reinicio no tolerables
PLATAFORMA
TECNOLÓGICA
Sistemas Operativos COTS (OS)
Actualizaciones son sencillas
COTS OS con configuraciones embebidas y sistemas
propietarios
Actualizaciones dependen de los proveedores
PLATAFORMA DE
HARDWARE
HW COTS
Buen performance
Mantenimientos comunes
Propietarios
Recursos limitados
Mantenimiento frecuente
GESTIÓN DE CAMBIOSCambios aplicados de manera oportunidad y a menudo automatizada
Buenas politicas y procedimientos
Pruebas en pre-producción
Despliegue incremental
Interrupciones planificadas con semanas o meses de antelación
COMUNICACIONESBuen ancho de banda / Estable
Acceso a internet
Pobre ancho de banda / Inestable
Sin acceso a internet
UBICACIÓN Los dispositivos usalmente son locales y de fácil accesoDispositivos pueden estar aislados y remotos, requiriendo
esfuerzo fisico para alcanzarlo.
Ciberseguridad IT vs OT – Naturalmente diferentes
SYSTEMAS IT SYSTEMAS OT
PROPOSITO Datos Confidencialidad e IntegridadDisponbilidad de la función/
Confiabilidad
OBJETIVO DE LOS
ATAQUES
Información, Movimientos Laterales, Uso
de recursosDoS, Sabotaje, Espionaje, Fraude
VECTORES DE
ATAQUE
Navegación Web
Intrusión física
Intrusión de red
TECNICAS DE ATAQUE Amplia audiencia, dirigida Altamente sofisticada & dirigida
CONCIENTIZACIÓN Buena, para sectores públicos y privados Generalmente pobre
Ciberseguridad IT vs OT – Naturalmente diferentes
SYSTEMAS IT SYSTEMAS OT
PROPOSITO Datos Confidencialidad e IntegridadDisponbilidad de la función/
Confiabilidad
OBJETIVO DE LOS
ATAQUES
Información, Movimientos Laterales, Uso
de recursosDoS, Sabotaje, Espionaje, Fraude
VECTORES DE
ATAQUE
Navegación Web
Intrusión física
Intrusión de red
TECNICAS DE ATAQUE Amplia audiencia, dirigida Altamente sofisticada & dirigida
CONCIENTIZACIÓN Buena, para sectores públicos y privados Generalmente pobre
¿CÓMO ABORDAR DE LA SEGURIDAD DE LOSATMs?
CRUZANDO EL ABISMO
SEGURIDAD DE
LA
INFORMACIÓN
OPERACIONES
ATMsHI!
Paso 1: Entender el ambiente
✓ HW Legacy
✓ Sistemas operativos obsoletos
✓ Accesibilidad física
✓ Muchos actores con privilegios
de administrador
RETOS
✓ Dispositivos de propósito
especificos
✓ HW & SW estáticos
✓ Sin acceso a internet *
VENTAJAS
Paso 2: Entender las amenazas
Paso 3: Entender las tecnologías
“Presunción de inocencia”
PERMITIDO a menos que se pruebe que es
malicioso
“Presunción de culpabilidad”
DENEGAR a menos que se pruebe que es requerido y
legitimo
SEGURIDAD DE ENDPOINT GENÉRICA SEGURIDAD ATM
Encripción de disco duro completa
Protección de integridad de
archivos
Listas Blancasde aplicación
Encripción de discos
Prevenciónde pérdida
de datos
Monitoreo de comportamiento
Escaneo de firmas
Paso 4: Aplicar una protección integral
Communications Protection
Hardware Protection
File Integrity Protection
Application
Whitelisting
Full Disk
Encryption
✓ Bloquear ejecuciones de
malware
✓ Bloquear infecciones de
HW
✓ Bloquear infecciones de
archivos
✓ Bloquear a ataques de
disco duro
✓ Bloquear infecciones de
red
Paso 5: monitorear la seguridad…
…Y REACCIONAR!
CONCLUSIONES
Conclusiones
Los sistemas IT &
OT son diferentes
por naturaleza
“ATMs son
tecnologías
operacionales”
Necesitamos
entender el
ambiente &
amenazas –
Cerrar el GAP
con Securidad de
la información
Los enfoques de
ciberseguridad IT
& OT son
diferentes– “Usar
el martillo
correcto”
¡MUCHAS GRACIAS!
OFFICESMadrid
C/Ramírez de Arellano, 21, CP 28043
Pamplona
P.E. La Muga, CP 31160, Orcoyen
Barcelona
C/Tarragona, 141-157, Piso 14, CP 08014
San Sebastián
P.E. Zuatzu, Ed. Urgull, 2º, CP 20018
León
Edificio CEBT, Calle Santos Ovejero 1. Oficina PB08
Bilbao
C/ Camino de LaidaEdificio 207, Bloque B 1º planta
Vitoria - Gasteiz
Edificio AzucareraAvda. de los Huetos 75, oficina 38
Lisboa
Rua do Viriato, 13B, 4º Andar. 1050-233, PT
Porto
Lugar do Espido, via norte4470-177. Maia
Ciudad de Mexico
Calle Río Pánuco, 108. Colonia Renacimiento, Ciudad de México
linkedin.com/company/s21sec
facebook.com/pages/S21sec
twitter.com/@S21sec
instagram.com/s21_sec
www.s21sec.com