Um dia, os funcionários do banco descobriram um caixa eletrônico vazio: não havia dinheiro, nem vestígios de interação física com a máquina, nem malware. Depois que especialistas passaram algum tempo desenrolando este misterioso caso, eles não só conseguiram entender as ferramentas cibercriminosas usadas no assalto, como também reproduzir o ataque, descobrindo uma violação de segurança no banco.
Em fevereiro de 2017, a Kaspersky Lab publicou os resultados de uma investigação sobre misteriosos ataques sem arquivos contra bancos: criminosos usavam malware em memória para infectar redes bancárias. Mas por que eles estavam fazendo isso? O caso ATMitch nos deu toda a imagem.
A investigação começou depois que os especialistas forenses do banco recuperaram e compartilharam dois arquivos contendo logs de malware do disco rígido do ATM (kl.txt e logfile.txt) com o Kaspersky Lab. Estes foram os únicos arquivos deixados após o ataque: não foi possível recuperar os executáveis maliciosos, porque após o roubo, os cibercriminosos tinham removido o malware. Mas mesmo esta pequena quantidade de dados pode ser suficiente para a Kaspersky Lab executar uma investigação bem-sucedida.
Apagar / Retrocesso
Nos arquivos de log, os especialistas da Kaspersky Lab conseguiram identificar informações em texto simples que os ajudaram a criar uma regra YARA para repositórios públicos de malware e a encontrar uma amostra. As regras YARA – basicamente as sequências de pesquisa – ajudam os analistas a encontrar, agrupar e categorizar amostras de malware relacionadas e estabelecer conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.
Depois de um dia de espera, os especialistas encontraram uma amostra de malware desejada – “tv.dll”, ou “ATMitch”, como foi mais tarde apelidado. Foi visto duas vezes: uma no Cazaquistão, e outra na Rússia.
Este malware é instalado remotamente e executado em um ATM a partir do banco-alvo: através da administração remota de máquinas ATM. Depois de instalado e conectado ao ATM, o malware ATMitch se comunica com o caixa eletrônico como se fosse um software legítimo. Ele torna possível para os invasores realizar uma lista de comandos – como a coleta de informações sobre o número de notas nos cassetes do ATM. O que mais surpreendeu: ele fornece aos criminosos a capacidade de dispensar dinheiro a qualquer momento, com o toque de um botão.
Normalmente criminosos começam obtendo informações sobre a quantidade de dinheiro que um dispensador tem. Depois disso, um criminoso pode enviar um comando para dispensar qualquer número de notas de qualquer cassete. Depois de retirar dinheiro desta maneira curiosa, os criminosos só precisam pegar o dinheiro e ir. Um roubo de ATM como este leva apenas alguns segundos! Uma vez que um ATM é roubado, o malware exclui seus traços.
Quem fez o ataque?
Ainda não se sabe quem está por trás dos ataques. O uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos durante a primeira fase da operação torna quase impossível determinar o grupo responsável. No entanto, “tv.dll”, usado no estágio ATM do ataque contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber neste perfil são GCMAN e Carbanak.
“Os ataques podem ainda estar ativos. Mas não entre em pânico! Combater esses tipos de ataques requer um conjunto específico de habilidades do especialista em segurança que protege a organização-alvo. O sucesso da violação e exfiltração de dados de uma rede só pode ser realizado com ferramentas comuns e legítimas; após o ataque, os criminosos podem limpar todos os dados que poderiam levar à sua detecção, sem deixar vestígios, nada. Para resolver estes problemas, a memória forense está se tornando crítica para a análise de malware e suas funções. E como o nosso caso prova, uma resposta cuidadosamente dirigida ao incidente pode ajudar a resolver até mesmo o cibercrime mais bem preparado “, disse Sergey Golovanov, Principal Security Researcher at Kaspersky Lab.