Migramos. Nuevas Publicaciones en Nuestro Nuevo Dominio.

Tomado de: http://recorriendo-los-caminos-de-encase.blogspot.com/2014/04/hackeos-atms-detectando-ataques-que.html

Se respetan derechos de autor.


Hackeos a ATMs: Detectando Ataques Que Inician Con Una Credencial de Acceso Válido


Hay un nuevo hack en la ciudad y el Servicio Secreto de los Estados Unidos le llama “Operación Ilimitada”. Con el foco en ATMs de bancos pequeños o medianos, los hackers usan credenciales robadas para entrar al panel de sistema de administración remota del ATM y así cambiar el límite de extracción de dinero a “ilimitado”. Posteriormente usan las tarjetas de débito robadas para extraer la mayor cantidad de dinero posible, a veces más de lo que las víctimas tienen en sus cuentas.

Quiten la tecnología de este escenario y es un lío al estilo “Oceans Eleven”. Llaves son robadas, bombas de humo son lanzadas, cajas fuertes son quebradas y los chicos malos se fugan con bolsas grandes de dinero. Así es como se ve en ciber – términos:

·         Un ataque exitoso de phishing orientado coloca malware en la estación de trabajo de un empleado. ¡Sistema atacado!

·         El hacker monitorea la estación de trabajo/dispositivo para ver cómo es que se logea normalmente el administrador al panel de administración remota del sistema de ATMs del banco

·         El hacker usa un ataque DDoS para distraer la seguridad del banco mientras se logea al panel de administración del ATM

·         El hacker remueve los límites de extracción para algunas cuentas de ATM y/o cuentas de banco

·         El ATM se mantiene sin compromisos: los límites son controlados mediante una consola de administración legítima.

Como escribió Jason en su blog post sobre Hacks RDP, “… es una amenaza basada netamente en el acceso: sin malware, sin exploit de por medio. Ningún sistema de detección de malware podría identificar estas amenazas porque usaron credenciales de acceso válidas.” Sin embargo, los análisis de dispositivos podrían detectar el malware corriendo en la estación de trabajo comprometida si el banco tomase este enfoque:

·         Auditar las estaciones de trabajo de los empleados y crear lineamientos base para comportamiento y procesos “normales” para cada uno

·         Realizar escaneos regulares para ver si alguno está corriendo un proceso que no esté en la lista blanca o tenga conexiones remotas sospechosas, quizás basados en la geografía o el IP remoto o dominio

·         Realizar búsquedas/cazas regulares de anomalías

EnCase Analytics fue creado para detectar actividad inusual como esta en la era de compromiso asumido. Puede aprender más acerca de esto aquí. ¿Comentarios? Las discusiones son bienvenidas en la sección de Comentarios más abajo.

Alfred Chung es el Encargado de Productos de EnCase Analytics en Guidance Software, si desea ver el artículo en inglés haga clic aquí.