According to The Hacker News, the US-CERT has issued a joint technical alert from the DHS, the FBI and the Treasury warning about a new ATM attack system used by the prolific North Korean hacking group known as Hidden Cobra.
Hidden Cobra is believed, also known as Lazarus Group and Guardians of Peace, to be backed by the North Korean government and has carried out attacks against various media organizations, aerospace, financial and critical infrastructure sectors worldwide.
El grupo también había sido asociado con la amenaza de ransomware WannaCry que el año pasado cerró hospitales y grandes empresas en todo el mundo, el ataque a la Banca SWIFT en 2016, así como el hackeo de Sony Pictures en 2014. Now, el FBI, el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro dieron a conocer detalles sobre un nuevo ataque cibernético, denominado “FASTCash”, que Hidden Cobra ha estado utilizando desde al menos 2016 para retirar dinero de Cajeros automáticos hackeando el servidor del banco.
Los investigadores analizaron 10 muestras de malware asociadas con los ciberataques de FASTCash y encontraron que los atacantes acceden de forma remota a los servidores de aplicaciones de conmutación de los bancos seleccionados para facilitar las transacciones fraudulentas.
El servidor de aplicaciones de Switch es un componente esencial de los cajeros automáticos y las infraestructuras de puntos de venta que se comunican con el sistema bancario central para validar las credenciales de la cuenta bancaria del usuario para cada transacción solicitada.
Aunque el vector de infección inicial utilizado para atacar las redes del Banco es desconocido, las autoridades de los EE. UU. Creen que los autores de la amenaza APT utilizaron correos electrónicos de phishing, que contienen ejecutables maliciosos para sistemas Windows, contra empleados de diferentes bancos.
Una vez abiertos los ordenadores de los empleados del banco, son infectados con ejecutables con malware basado en Windows, que permiten a los piratas informáticos moverse sigilosamente a través de la red del banco utilizando credenciales legítimas e implementar malware en el servidor de aplicaciones de gestión de pago.
US-CERT recomendó a los bancos que implementaran la obligación de utilizar la autenticación de dos factores antes de que cualquier usuario pueda acceder al servidor de aplicaciones del switch y usar mejores métodos para proteger sus redes.