Después de un descanso, el grupo de hackers Lazarus vuelve a en los titulares. Esta vez, los piratas informáticos son responsables de usar el caballo de Troya FASTCash para atacar a los cajeros automáticos de todo el mundo. Desde 2016, han conseguido robar hasta 10 millones de bancos en Asia y África. Según un informe de Symantec, Lazarus utilizó este troyano para infectar los servidores que controlaban los cajeros automáticos y, de esta manera, obtuvo el permiso para interceptar sus solicitudes de transacciones y obtener efectivo.
El grupo de hackers vinculado a Corea del Norte ha estado involucrado en espionaje y ciberdelincuencia desde 2014 o antes. Según el informe del Equipo de Preparación para Emergencias Informáticas de Seguridad Nacional, se han informado ataques ATMS similares desde 2016. La organización responsable de analizar y reducir los riesgos de amenaza cibernética ha declarado lo siguiente:
“Desde al menos a finales de 2016, los actores de HIDDEN COBRA han utilizado las tácticas de FASTCash para dirigirse a los bancos en África y Asia. En el momento de esta publicación de TA, el gobierno de los Estados Unidos no ha confirmado ningún incidente de FASTCash que afecte a instituciones dentro de los Estados Unidos.”
La funcionalidad detrás de Trojan.Fastcash
Este caballo de Troya, que se descubrió hace no mucho tiempo, se usó en la primera semana de noviembre de 2018. Se propaga mediante campañas de correo electrónico de spear phishing e inyecta el código en el sistema. El proceso que ejecuta este malware está desarrollado para comunicarse con los sistemas financieros que utilizan el estándar ISO8583. En este ataque de cajeros automáticos, el grupo Lazarus se centró en piratear los bancos objetivo y sus redes para comprometer el interruptor de los servidores utilizados para ejecutar transacciones de cajeros automáticos. Cuando el servidor está comprometido, el troyano convierte las solicitudes de retiro de efectivo en aprobaciones directas, y de esta manera el atacante puede robar efectivo de la máquina directamente.
Dos de las funciones principales de este malware son monitorear los mensajes entrantes y las respuestas. Además, se supone que el virus supervisa las transacciones fraudulentas que generan los atacantes para evitar que lleguen a la aplicación del switch que procesa las transacciones. También contiene la funcionalidad que genera respuestas fraudulentas a las solicitudes de transacciones directas.