Ameaças bancárias físicas e virtuais – Entrevista com Fábio Assolini da Kaspersky

Durante o encontro de analistas de segurança feito pela Kaspersky semanas atrás em Los Cabos - México, um dos pontos que mais capturou minha atenção foi a apresentação de Fábio Assolini, Senior Security Researcher at Kaspersky Lab relacionada a ataques físicos a sistemas de caixas eletrônicos. Tive a oportunidade de conversar com ele na sequência sobre estes assuntos.

figura 01 – Fábio Assolini em sua apresentação no KLSEC 2016

Segundo Fábio este tipo de ataque tem crescido muito nos últimos anos. A audácia dos larápios é tanta que golpes são aplicados usando dispositivos que substituem os caixas eletrônicos bem como usando recursos de comunicação ou tecnologia para a consecução dos golpes.

A Kaspersky estudou a situação deste tipo de golpe na américa latina. A situação pode ser resumida da seguinte forma.

• Caixas eletrônicos velhos
• Rede mal instalada ou aberta
• Empregados corrompidos
• Roubo ou fuga de dados (manual ou via software)
• Grande desenvolvimento de malware para caixas eletrônicos.

Os dispositivos são antigos. Em sua grande parte são baseados em Windows XP, sistema operacional que já teve encerrado o seu ciclo de suporte encerrado e por isso não mais dispõe de correções de segurança. Também me chamou muita atenção “malware para caixas eletrônicos”. Ou seja, uma vez que o larápio consegue acesso à rede (será explicado depois), ele consegue plantar um software malicioso no caixa eletrônico que em função de seu nível de acesso, captura dados, rouba informações e em alguns casos consegue controlar o dispositivo para realizar o que se chama de “jackpotting”, a extração do numerário como se fosse o grande prêmio de um caça níqueis de Las Vegas!! Sem precisar de fortes instrumentos cortantes, maçarico ou explosivos!

  

figura 02 – malware transforma um caixa eletrônico em um “grande prêmio”

Esta plataforma desatualizada, não apenas o sistema operacional (XP), mas por exemplo, um Flash Player, pode conter mais de 9.000 (nove mil) vulnerabilidades conhecidas, prontas para serem exploradas! Os fabricantes tendem a achar que a máquina estará sempre no regime de operação normal, isolada dos usuários e por isso sem antivírus ou outras soluções de segurança. Ao contrário da área de depósitos e estoque de dinheiro, que são muito bem blindadas (cofre), a parte das máquinas que contém o PC está normalmente muito mais aberta e vulnerável!

Esta categoria de malware é muito especial porque não requer conexão com Internet (mas exige algum tipo de acesso físico à máquina). Ela pode ser acessada pela rede exposta, um pendrive ou dispositivo USB e às vezes até um teclado esquecido (ou levado pelo atacante). Na apresentação do Fábio vimos um vídeo no qual acesso aos bastidores do caixa eletrônico era conseguido por meio de um guarda-chuvas!! Isso fazia a máquina reiniciar e o malware presente no pendrive era introduzido. Vejam as fotos abaixo que ilustram o estado precário de alguns caixas eletrônicos na américa latina:
  

figura 03 – situações muito precárias

 

figura 04 – redes expostas (roteador/switch) “pedindo” para serem atacadas.

Existe um grupo conhecido de cyber criminosos chamado Carbanak que já realizou diversos ataques no mundo e entre outras coisas, vende tecnologia de ataque para outros indivíduos mal-intencionados. A técnica do Carbanak é essencialmente um APT (ameaça persistente avançada).

Os criminosos infectaram computadores de funcionários de bancos sucessivamente com o auxílio de e-mails de spear phishing (ataque direcionado – veja a definição no link). Incluuram arquivos executáveis maliciosos ou por meio de vulnerabilidades do navegador. Uma vez dentro da rede, usaram softwares legítimos para hackear outros PCs até que alcançaram os dispositivos que estavam procurando, aqueles com acesso às transações monetárias. Por exemplo, o alvo eram os computadores de operadores de call centers ou da equipe de suporte.

Como resultado, cada vez que um cibercriminoso sacava dinheiro do cartão de um banco comprometido no ATM de um outro banco, sistemas infectados automaticamente voltavam a transação. É por isso que o saldo nas contas se mantinha o mesmo, permitindo que os cibercriminosos sacassem dinheiro até o limite do caixa eletrônico. Os criminosos fizeram retiradas similares em diferentes terminais de autoatendimento.

Além de toda essa tecnologia nefasta, ainda há ataques do tipo “força bruta” aos caixas eletrônicos, como por exemplo, a explosão. Mas isso chama muita atenção. Por isso também foi criado outro tipo de ataque que consiste na captura de dados dos cartões e às vezes dos próprios cartões usando um caixa falso. Muitas vezes o criminoso está por perto, conectado à sua engenhoca, via Bluetooth ou WiFi recebendo todas as informações, pronto para aplicar os golpes. Veja a foto abaixo!!

figura 05 – caixa falso sendo desmontado

Há diversos tipos de ameaças às vezes um pouco diferentes dependendo do país, como a Ploutus no México, a GreenDispenser na Colômbia. Mas falando de Brasil a Kaspersky encontrou 2 novas famílias este ano. Existe desenvolvimento totalmente local de malware fortemente criptografados. Os criminosos têm conhecimento das funções de rede do banco. Também tentam usar um malware para bloquear a ação do software de proteção utilizada. Em um único ataque 107 caixas eletrônicos foram infectados!!

A conclusão é simples! Ainda se ataca usuários, visando desfalcar suas contas bancárias, mas o cyber criminoso está chegando à conclusão de que é melhor atacar o próprio banco. É mais difícil, mais trabalhoso, mas afinal é lá que o dinheiro graúdo está!

Depois de saber disso tudo tive a oportunidade de entrevistar o Fábio e aprofundar alguns destes assuntos e também falarmos de forma mais ampla sobre as ameaças que rondam em torno de nós. Também conversamos sobre o ataque de sequestro de dados (Ransomware).

figura 06 – conversa com Fábio Assolini

Flavio Xandó: Fábio eu gostaria de saber qual o caminho que estão tomando os ataques e quais as medidas de proteção necessárias? As coisas estão mudando muito rapidamente. Um ano e meio atrás Ransomware era exercício de ficção e hoje em dia é uma ameaça constante!!

Fábio Assolini: quando nós vemos ataques aos usuários um malware vai tentar tirar vantagem para alguém de alguma forma. Olhando o caso do Brasil, a vantagem que se tenta obter é financeira. O criminoso brasileiro é muito imediatista. Ele não tem muita paciência de ficar bolando um ataque que vai demorar muito tempo para executar...

Flavio Xandó: ele não desenvolve algo rebuscado?

Fábio Assolini: não, ele vai direto ao ponto. Por isso que o Brasil é no contexto global o país mais atacado por Phishing, pois este é um ataque muito imediato. Tem um prazo de duração curto, mas o criminoso vai direto aos seus alvos, vai roubar credenciais e assim roubar dinheiro das pessoas. E por conta disso o Brasil é o pais que está entre os que mais produz Trojans bancários do mundo. Que vai também fazer a mesma coisa que o Phishing, roubar as credenciais bancárias e limpar a conta da vítima. Já o Ransomware é uma nova área para os criminosos brasileiros que é muito “interessante”. No caso dos golpes bancários, de alguma forma, com maior ou menor trabalho, a polícia consegue fazer o “follow the Money” e acaba pegando o criminoso ou o “laranja”, estando muito próximo ao mentor do crime. Já o Ransomware afeta a vítima diretamente, criptografa os arquivos dela e o pagamento é via Bitcoin que é uma moeda não rastreável. Por isso tem crescido muito este ataque contra usuários.

Flavio Xandó: e em relação às empresas?

Fábio Assolini: as empresas hoje, dependendo do mercado que ela atua, têm áreas especializadas em segurança e por isso em princípio melhor protegidas. O ataque é diferente. Tem Ransomware? Sim, mas dependendo do perfil da vítima, um banco por exemplo, ataque de Ransomware é bem mais difícil. O criminoso tem que melhorar a arma dele. Se antes ele era bem-sucedido ao atacar usando uma “faca”, para atacar uma empresa como um banco, a faca já não serve mais. Ele precisa trocar a arma de ataque. Que arma é essa? APT (Advanced Persistent Threath). Então ele precisa usar ataques muito mais elaborados para atingir um banco ou um órgão do governo, por exemplo. Uma vez que ele tem êxito em penetrar dentro da empresa, ele vai fazer o maior esforço para permitir que ele fique lá dentro o maior tempo possível sem que percebam que há um invasor na rede. Ele vai roubar a maior quantidade possível de informações para chegar ao seu objetivo.

Flavio Xandó: e qual seria este objetivo?

Fábio Assolini:  quando o ataque é contra um governo, o objetivo é espionagem. Quando o ataque é contra um banco, qual é o interesse do criminoso? É estar lá dentro o maior tempo possível, aprender a usar e conhecer aquele ambiente do banco e a partir disso fazer o ataque. Qual ataque ele faz contra o banco hoje? Uma vez que usou o APT para adentrar ele vai fazer o ataque direto ao ataque do banco de duas formas. Ou da Rede SWIFT para fazer este dinheiro sair de lá e ir para outro lugar ou pelos caixas eletrônicos. Há grupos criminosos que fazem os dois. É o caso do Carbanak. Uma vez que ele tem acesso e infecta a rede interna do banco, ele tem acesso a toda rede de caixas eletrônicos e vai infectar todos estes caixas para fazer os roubos. Há criminoso que fazem o roubo pela Rede SWITF. Recentemente isso aconteceu no Equador e foram levados 12 milhões de dólares! São comuns transferências de grandes valores pela Rede SWIFT, um serviço global que interliga bancos no mundo todo. Os criminosos estão melhorando suas táticas para lhes permitir roubar mais nessas situações nas quais o alvo é o banco e não os usuários.
 

figura 07 – muitas formas para subtrair o recurso alheio

Flavio Xandó: chamou muita minha atenção o que você falou em sua apresentação, não tinha pensado nisso, o potencial de ganho ao atacar o banco é mesmo muito maior.

Fábio Assolini: é muito maior, dá mais trabalho, o ataque tem que ser mais sofisticado, bem planejado porque o banco tem camadas de segurança, tem equipe dedicada. Segurança faz parte de seu negócio. Mas uma vez dentro, o lucro que o criminoso vai ter é potencialmente muito maior do que atacar um simples usuário, ou mesmo uma empresa de outro porte e segmento. Todos os ataques que nós vimos relacionados a caixas eletrônicos são grandes, o valor roubado é grande porque o criminoso já está dentro.

Flavio Xandó: e como são estes ataques a caixas eletrônicos?

Fábio Assolini: são basicamente dois modus operandi. O primeiro é o ataque externo, que ocorre já há bastante tempo, não é novidade. O criminoso tem acesso físico ao caixa eletrônico e o infecta. Mas dessa forma, é como atacar usuários, ele tem que agir caixa por caixa. Mas se ele faz o ataque por dentro, ele tem acesso à rede do banco nas quais existem milhares de caixas. Assim ele pode programar estes caixas para roubar o dinheiro que têm dentro. Hoje o desenvolvimento de malware para caixa eletrônico seguem estes dois caminhos, interno e externo usando APT.

Flavio Xandó: você mostrou na sua apresentação casos de pessoas que têm acesso aos roteadores, que estão expostos, em cima do caixa eletrônico, uma barbaridade. Mas independentemente de nós sabermos que nestes caixas eletrônicos existem softwares antigos e vulneráveis como Windows XP, os bancos têm como prática a instalação nos caixas de algum tipo de software para proteção ou eles acham que a rede deles é segura e não precisam disso?

Fábio Assolini: existem os dois casos. Alguns bancos que têm consciência ou já sofreram ataque e por isso ele vai instalar softwares para cuidar da segurança do ATM para impedir uma infecção. Existem bancos que não foram vítimas e não tomam estes cuidados porque acreditam que o ATM está dentro da rede dele e basta ele controlar a rede que tudo estará seguro. Mas não é bem assim porque o ATM está vulnerável, exposto, o criminoso consegue ter acesso a uma unidade USB ou CD, beneficiando-se do fato que o software rodando ali é antigo, ele faz o ataque. É um jogo de gato e rato.

Flavio Xandó: você pode dar um exemplo?

Fábio Assolini: alguns bancos usam softwares que limitam a execução apenas de programas conhecidos. Como um criminoso vai atacar um ATM desses? Tem jeito? Tem! O criminoso vai usar o próprio software reconhecido pelo banco. Em um dos casos que nós investigamos, o criminoso não desenvolveu um malware. Ele usou o mesmo software do banco que ele teve uma cópia, mas ele modificou este software para trabalhar a favor dele.
 

figura 08 –Kaspesky descobre porque é fácil um hacker fazer um ATM obedecê-lo

Flavio Xandó: mas neste caso o programa não teria um hash diferente? (hash é um tipo de código de verificação digital como se fosse uma assinatura do arquivo)

Fábio Assolini: depende. Tem alguns bancos que usam soluções mais antigas de segurança baseadas em hash. Tem bancos que utilizam outras soluções baseadas em comportamento, em princípio mais seguras. Varia bastante. Mesmo as soluções baseadas em hash podem ser burladas. Quando analisamos os aspectos internos do Windows, códigos podem ser injetados diretamente na memória ou injetar código em outro processo que está ativo e já foi aprovado. Estas duas situações são possíveis. O criminoso vai usar destes expedientes para executar o malware que ele precisa para infectar o caixa eletrônico. Portanto é mesmo uma briga de gato e rato proteger um caixa eletrônico usando um sistema antigo.

Flavio Xandó: para ter acesso à rede interna do banco, na qual está a rede de ATMs, tirando este caso que o roteador está exposto, isso também passa por pessoas cooptadas dentro das empresas?

Fábio Assolini: em alguns casos que nós vimos, sim. Além de existir o problema da segurança física da infraestrutura da rede do banco, pode existir o problema de funcionários corruptos que se unem ao criminoso ou de ex-empregados que já trabalharam no banco e têm informação privilegiada acabam vendendo esta informação para criminosos. Hoje em dia é impressionante a quantidade de documentação que deveria ser apenas interna detalhando o funcionamento da rede ou dos softwares usados nos caixas eletrônicos, que estão disponíveis no “underground”.

Flavio Xandó: Sério?!!??

Fábio Assolini: sim, isso vazou de alguma forma, mas como? A maneira mais fácil deste documento vazar é por meio de gente de dentro. Quando um criminoso encontra um manual do fabricante de caixa eletrônico, que detalha todo o software, todo o funcionamento, essa informação vale ouro na mão dos criminosos. Eles compartilham esta informação entre eles. Com esta informação que ele vai poder se prepara para um ataque. Essa informação deveria ser apenas interna e quando vaza é porque alguém de dentro deixou vazar.

Flavio Xandó: diferentemente da legislação de outros países, que obriga as empresas a divulgar incidentes de segurança, como por exemplo, o caso da TARGET, ela foi obrigada a “dar a cara para bater” e contar o que aconteceu (ataque entrou pelo PDV), no Brasil não existe esta obrigatoriedade. A impressão que dá é que os bancos de acastelam em uma postura do tipo “eu sou inviolável, ninguém nunca me invadiu”, mas na verdade estão acontecendo um monte de coisas que nós não sabemos, não é?

Fábio Assolini: exato. É claro que acontecem vários incidentes de segurança que os bancos não tornam público. Isso é natural em um negócio no qual a segurança é muito importante. Você para ter o seu dinheiro no banco e movimentar a conta, confiança é um fator importantíssimo. Não é do interesse dos bancos tornar totalmente exposto incidentes de segurança que eles tenham passado ou estão acontecendo. Não é bom para o negócio deles e nós entendemos isso. Mas há casos que eles levam isso ao extremo, por exemplo, não compartilhar informações de ataques que eles estão sofrendo com outros bancos! Estes outros bancos ainda não sofreram aquele ataque poderiam tomar medidas para se proteger. Os bancos não compartilham. Isso é ruim para os usuários e para o sistema em si.

Flavio Xandó: isso poderia ser diferente! É uma característica de nosso mercado?

Fábio Assolini: O mercado brasileiro é muito desenvolvido na adoção de novas tecnologias de proteção. Nós somos “early adopters” de novas tecnologias. Por exemplo, o Brasil foi o primeiro país a adotar massivamente o cartão com chip. EUA estão adotando apenas agora. Vamos comparar agora o mercado bancário brasileiro com o mercado europeu. Os bancos europeus estão na vanguarda do compartilhamento de informações sobre ataques. Eles não veem problema em compartilhar informação entre eles ou com empresas de segurança e até força policial especializada. Na América Latina isso não ocorre. Eles são ainda muito reservados para compartilhar informações.

Flavio Xandó: os europeus não deixam o incidente vir a público para que não impacte o negócio, mas dentro da comunidade de segurança e entre eles, eles compartilham visando viabilizar soluções?

Fábio Assolini: exatamente, na Europa é assim, mas na América Latina isso é bem verde. Tem a ver com a maturidade dos mercados.

Flavio Xandó: em termos de soluções a Kaspersky tem presença a partir do consumidor final (doméstico), empresas pequenas e até soluções mais parrudas. São baseadas em software, eu acredito que não exista um appliance Kaspersky, talvez nem precise...

Fábio Assolini: nós temos uma solução especializada contra APT que chamada de KATA (Kaspersky Anti Targeted Attack) que tem um appliance para funcionar na rede do cliente monitorando os ataques de APT. Mas na nossa linha de produtos as soluções baseadas em software são mais presentes, suficientes na maioria dos casos. Por exemplo, nos caixas eletrônicos (software). Hoje você não precisa de um aparato técnico específico. O banco tem que cuidar da segurança física do caixa eletrônico, não deixar unidade de CD ou portas USB facilmente acessíveis. Deve ser blindado o caixa eletrônico e o restante da proteção é feita via software. Isso é possível. A proteção de software pode barrar o ataque de um criminoso.

figura 09 – Kaspersky Anti Targeted Attack – exemplo de dashboard (clique para ampliar)

Conversando sobre Ransomware

Flavio Xandó: falando de Brasil, tomemos um segmento de empresa (não banco), qual é o ataque mais recorrente e qual tem tido mais sucesso?

Fábio Assolini: hoje em dia, nas empresas brasileiras, o ataque mais bem-sucedido tem sido o Ransomware. Tem tido mais alcance dentro das empresas. Em empresas pequenas e médias e mesmo empresas grandes, nem todos os endpoints (estações de trabalho e outros dispositivos) não estão protegidos ou atualizados. Esta é a oportunidade que o criminoso está aproveitando para infectar os endpoints nas empresas e o Ransomware tem as afetado duramente. Os ataques menos comuns são os ataques do tipo APT porque são muito direcionados, que são voltados para grandes corporações e governos. São menos comuns em quantidade, mas eles ocorrem. O Brasil tem sido vítima de vários ataques de espionagem nos últimos anos usando APT. Mas hoje nas empresas, Ransomware tem sido expressivo o número de casos e de empresas impactadas.

Flavio Xandó: eu fui testemunha nos últimos meses de alguns eventos de Ransomware. Em caso eu cheguei tarde, o servidor e o HD de backup já estavam comprometidos. E em outro caso, não só eu estava presente quando os arquivos começaram a ser criptografados, como tive que estancar o ataque e descobrir o ponto de entrada. Uma zelosa funcionária tinha clicado em um link, em um e-mail que dizia “atualize a sua chave de segurança do Banco do Brasil”, que era o banco que ela usava. A solução de proteção (de outro fabricante) não foi capaz de interceder barrar o ataque. Faltou educação digital, na minha opinião complemento essencial para qualquer sistema de segurança. 30 mil arquivos dentre 900 mil foram perdidos. Mas o backup da madrugada estava em dia e não foi problema restaurar o servidor.

Fábio Assolini: seguramente, tudo faz parte de um estado consistente de segurança.

Flavio Xandó: mas sobre isso, eu li recentemente um White paper de uma empresa de segurança. Existe Ransomware que carrega a chave de criptografia com ele mesmo e outro tipo que na hora que ele vai começar a criptografar ele “liga para casa” e informa remotamente a chave que ele vai usar naquele caso. Se este tipo de ataque for interrompido, sem que ele tenha se comunicado com “sua casa”, nunca estes arquivos poderão ser restaurados pelo criminoso, mesmo que seja pago o resgate. É isso mesmo?

Fábio Assolini: não, não é bem assim. São três situações. O Ransomware que carrega a chave com ele, este tipo de Ransomware pode ser decifrado desde que você encontre o vetor, o que iniciou a infecção. Este tipo é mais “amador” e tem se tornado cada vez mais raro. O próprio criminoso sabe que é um Ransomware “meia boca”.
  

figura 10 – Ransomware – pagamento de resgate para obter a chave para recuperar os arquivos

Flavio Xandó: este é “consertável”!!

Fábio Assolini: exato! O segundo tipo, o que é mais comum hoje em dia. O Ransomware ao “desembarcar” se comunica com a CC, sua central de controle e comando, codifica todos os arquivos e no final ele manda a chave para a central. Esta chave que o criminoso vai usar para remover a codificação dos arquivos caso a vítima pague. Este tipo é o mais usado porque o CC está sobre controle do criminoso. O terceiro tipo é o Ransomware destrutivo. Ele tem alguma falha no processo de criptografar o arquivo. Eu já vi um Ransomware que codificava tudo, mas por um erro de implementação a chave usada era eliminada, mesmo pagando não é possível restaurar os arquivos.

Flavio Xandó: para concluir nossa conversa, esse tipo de Ransomware falho que não permite a recuperação dos arquivos, seja por erro de programação ou por fazer algo mais simples e propositalmente destrutivo, não estaria minando a “credibilidade” do negócio Ransomware? Isso faz sentido?

Fábio Assolini: faz sentido sim!! E tem Ransomware que cifra os arquivos de forma não recuperável, mesmo pagando. Isso ocorre. Não importa a situação, vá o criminoso devolver os arquivos ou não, nós recomendamos que a vítima não pague!  Ao pagar, no mínimo você vai estar incentivando o criminoso a continuar com estes ataques. E às vezes é possível recuperar o arquivo cifrado, seja usando uma vulnerabilidade do padrão criptográfico usado pelo criminoso, ou seja, porque em ações conjuntas com a polícia nós conseguimos recuperar as chaves. Já fizemos isso duas vezes com a polícia da Holanda. Bem recente, na semana passada a Kaspersky anunciou que uma família de Ransomware cifrava tudo e mandava para um servidor na Holanda. Ligamos para a polícia da Holanda e falamos “polícia tem um servidorzinho no país de vocês que está com as chaves de criptografia, vocês nos ajudam?”. A polícia foi lá, apreendeu o servidor, passou para nós e encontramos um monte de arquivos e chaves usada para cifrar os arquivos das vítimas. O que nós fizemos, pegamos e criamos uma ferramenta gratuita e distribuímos para que as vítimas pudessem decifrar os seus arquivos - pode ser obtida aqui. Então não se deve pagar para não estimular o criminoso e em alguns casos é possível recuperar o arquivo sem pagar!!
 

figura 11 – ferramenta Kaspersky gratuita para reverter alguns casos de Ransomware

Flavio Xandó: muito obrigado Fábio! Esclareceu muito acerca de vários tópicos sobre a sua apresentação, sobre segurança no meio bancário e também aprendi muito sobre as últimas novidades relacionadas a Ransomware!! Muito obrigado!!