A brasileira ISH Tecnologia emitiu recentemente um alerta para o retorno de um ataque conhecido como ATM Jackpotting. Trata-se de uma modalidade de ataque físico em que criminosos utilizam um pendrive com um malware especializado em assumir o controle do dispenser de cédulas de caixas eletrônicos (ATMs).
Na prática, o malware força a liberação de dinheiro dos caixas eletrônicos sem necessidade de autenticação bancária. A ISH diz que o método está ganhando força pela execução direta no hardware, ignorando completamente a internet – e as pesadas proteções digitais empregadas pelas instituições financeiras.
Segundo os especialistas, os criminosos acessam o compartimento técnico do terminal e inserem o dispositivo USB com malwares como Ploutus, Cutlet Maker ou variantes. Além do esvaziamento do terminal (e dos danos financeiros), o ataque compromete o sistema operacional e deixa backdoors, criando outros riscos de movimentação lateral caso a máquina seja reconectada à rede corporativa.
Leia também: Itaú lança plataforma para conectar clientes a experiências de entretenimento ao vivo
“O sucesso do Jackpotting escancara uma falha estrutural profunda no modelo tradicional de defesa. Esse tipo de ataque uma verdadeira ‘humilhação da cibersegurança’. Ele prova de forma contundente que não adianta as organizações investirem milhões em soluções como SIEM, SOC, segmentação de rede ou firewalls de última geração se o endpoint físico não estiver adequadamente protegido”, diz em comunicado Hugo Santos, diretor de inteligência de ameaças da ISH Tecnologia.
Segundo o especialista, se o hardware não possui endurecimento (hardening) e o sistema operacional permite um boot externo, toda a estratégia de segurança perimetral se torna irrelevante. “O ataque é cego para o monitoramento de rede, IDS/IPS ou firewalls”, afirma.
O especialista diz que o retorno desse tipo de ataque se deve a vasta quantidade de caixas eletrônicos em operação ainda rodando sistemas operacionais antigos, como Windows 7 Embedded e até Windows XP Embedded. Há ainda ausência de criptografia de disco, falta de proteção de BIOS e de soluções de detecção e resposta (EDR) embarcadas.
Estratégia de proteção
Para combater o Jackpotting, a empresa recomenda a adoção urgente de uma abordagem integrada que inclua, em nível de hardware, desabilitar a inicialização por dispositivos externos (USB/CD) e proteger a BIOS/UEFI com senha forte. No campo lógico, incluir a implementação de Application Whitelisting para permitir apenas programas homologados, além da adoção de sistemas EDR compatíveis com ambientes embarcados.
Ainda no escopo de prevenção, a criptografia total do disco e a manutenção de atualizações dos sistemas são consideradas vitais pela ISH. A companhia também indica a instalação de sensores de violação física (tamper detection) conectados a alertas imediatos, segregação da rede dos ATMs e realização contínua de auditorias e testes de intrusão físicos.
Siga oIT Forum no LinkedIn e fique por dentro de todas as notícias!
