El regreso de los antiguos hábitos de consumo, tras el paréntesis de la actividad comercial física producido por la pandemia, también ha supuesto que la actividad de los delincuentes vuelva a aumentar. HydraPoS y AbaddonPoS son las familias de malware más extendidas en 2022. Entre las dos aglutinan aproximadamente el 71% de todas las detecciones. En el caso de los cajeros automáticos, el malware más activo es Ploutus, que representa el 3% de todas las detecciones en los primeros ocho meses de 2022, tal y como refleja un nuevo informe sobre el malware para cajeros automáticos y TPV publicado por Kaspersky.
¿Qué buscan los ciberdelincuentes en los cajeros? Parece obvio, pero más allá de robar dinero en efectivo, también quieren conseguir credenciales de tarjetas de crédito y datos personales, y penetran en los sistemas para hacerse con el control de todos los dispositivos de una red. Muchas de las versiones de Windows utilizadas en los cajeros automáticos finalizaron su vida útil hace tiempo y pueden ser un objetivo fácil, mientras que los terminales de punto de venta son utilizados por muchas empresas con un bajo nivel de madurez en materia de ciberseguridad, destaca este estudio.
Un aumento del 19% en los primeros ochos meses de 2022
Cuando llegó la pandemia, el número de ataques se redujo drásticamente en comparación con el año anterior: de aproximadamente 8.000 en 2019 a 5.000 en 2020. Según la evaluación de los expertos, esto se produjo por varias razones, como la reducción del número total de cajeros automáticos en todo el mundo, su cierre durante las restricciones de la pandemia, así como la reducción del gasto de la gente en general. Como consecuencia, los atacantes vieron cómo se reducía su mercado en cuanto al número de sus objetivos.
Actualmente, las restricciones se han suavizado mucho, los antiguos patrones de gasto han vuelto y, por tanto, la actividad de los actores de las amenazas se está acelerando. En 2021, el número de dispositivos encontrados con malware para cajeros automáticos y terminales de punto de venta aumentó un 39% en comparación con el año anterior. En los primeros ocho meses de 2022, el número creció un 19% en comparación con el mismo período de 2020, y casi un 4% en comparación con 2021. En total, 4173 dispositivos fueron atacados entre enero y agosto de 2022.
Dada esta tendencia, los expertos esperan que el número de ataques a los dispositivos ATM/PoS aumente aún más en el cuarto trimestre de 2022.
El malware para TPVs es el más extendido
HydraPoS y AbaddonPoS representan aproximadamente el 71% de todas las detecciones de malware para cajeros y TPV en 2020-2022, con un 36% y un 35%, respectivamente.
El líder de la clasificación, HydraPoS, es originario de Brasil y es conocido por clonar tarjetas de crédito. Según los informes del Portal de Inteligencia de Amenazas de Kaspersky, esta misma familia fue utilizada en ataques que involucran ingeniería social.
"Hay diferentes técnicas. Dependen de quién realice el ataque y de la familia que se utilice. Los atacantes hacen llamadas telefónicas o incluso acuden a las oficinas de las víctimas. Se hacen pasar por un empleado de un banco o de una compañía de tarjetas de crédito e intentan convencer a la víctima de que instale el malware como si fuera una actualización del sistema", comenta Fabio Assolini, jefe del Centro de Análisis de América Latina de Kaspersky.
RawPoS (el malware capaz de extraer la totalidad de los datos de la banda magnética de la memoria volátil) y Prilex[U1] (el malware que abusa de los procesos relacionados con el software PoS y las transacciones de las tarjetas de crédito y débito), representan el 2% de cada uno. Las otras 61 familias y modificaciones analizadas representan menos del 2% por cada una.
"El malware de los TPVs está más extendido que el de los cajeros automáticos porque permite un acceso bastante fácil al dinero. Si los cajeros automáticos suelen estar bastante bien protegidos, los propietarios de cafeterías, restaurantes y tiendas a menudo ni siquiera piensan en la ciberseguridad de sus terminales de pago. Esto los convierte en un objetivo para los atacantes. Además, surgen nuevos modelos de negocio delictivos, como el malware de servicio, que reducen el nivel de conocimientos de los posibles actores de las amenazas", explica Fabio Assolini.