![Page 1: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/1.jpg)
CYBERSECURITY YOU
CAN TRUST
www.s21sec.com
Enfrentando los
ciberataques en
redes de ATMs
![Page 2: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/2.jpg)
INDEX
• Seguridad ATMAtaques DirigidosRetos de Gestión
• Proteger una red de ATMsEnfoque IT vs OT¿Dónde encajan los ATMs?¿Cómo abordar la seguridad de los ATMs?
![Page 3: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/3.jpg)
SEGURIDAD ATM
![Page 4: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/4.jpg)
ATMs: Objetivo de ataques
Los ATMs son objetivos muy atractivos para los atacantes:
• Siempre disponen de dinero en metálico, se rellenan periódicamente
• Manejan información sensible: Tarjetas de Crédito/Débito y PINs
• Poco vigilados o atendidos
• Escasas medidas de seguridad lógica
Múltiples vectores de ataque:
• Ataques Físicos
• Ataques Lógicos (Malware)
• Ataques Lógico-Físicos (Malware + Acceso Físico al ATM)
ALTO COMPONENTE REGIONAL EN LOS ATAQUES
![Page 5: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/5.jpg)
Mantenimiento costoso
Falta de estandarización de los
entornos ATM:
• Falta de control sobre el SW y
HW desplegados
• Procesos de despliegue y
mantenimiento costosos y con
afectación del servicio
• Gestión del Cambio no
controlada -> múltiples actores
(terceros) con permisos de
administración
Múltiples sistemas de gestión:
• Visibilidad segmentada
• Aumento de costes
• Complejidad de gestión
Requerimientos de
Cumplimiento Normativo – PCI
![Page 6: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/6.jpg)
Ataque lógico-físico (Tyupkin / Ploutus)
TARGET
Instituciones Financieras
Latam, Europa & Asia
Pérdidas acumuladas de Millones
de dólares
OBJETIVO
Fin:
Extraer dinero directamente del
dispensador del ATM
Vector:
Manipulación de Disco Duro
Infección Malware
MODUS OPERANDI
• Acceso físico al Top-Box del
ATM
• Boot desde dispositivo externo
• Desactivar SW de seguridad e
infectar con malware
• Reiniciar el ATM y arrancar el
malware
• Esperar comandos desde Pin-
Pad para tomar control del
dispensador
![Page 7: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/7.jpg)
Ataque lógico-físico
GREENDISPENSER
Malware detectado en cajeros automáticos en méxico
“GreenDispenser” permite extraer dinero directamente de los bancos sin
intervención de los usuarios.
SUCEFUL
Malware para cajeros automáticos que roba tarjetas bancarias
“Suceful” su finalidad es copiar los datos de las tarjetas bancarias de las
víctimas y retenerlas en la máquina para que el ciberdelincuente pueda
robarlas físicamente.
http://www.poderpda.com/investigacion-y-desarrollo/malware-detectado-cajeros-automaticos-mexico/
http://computerhoy.com/noticias/software/malware-cajeros-automaticos-que-roba-tarjetas-bancarias-34241
![Page 8: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/8.jpg)
Advanced Persistent Threat (Carbanak)
TARGET
+ 100 Instituciones Financieras
+ 30 países
Pérdidas acumuladas de
Millones de dólares
OBJETIVO
Fin:
Extraer dinero directamente del
dispensador del ATM
Vector:
Alteración de SW legítimo
Infección Malware
MODUS OPERANDI
• Infección de equipos de sucursal:
spear phishing & drive-by web attack
• Escalada de privilegios y movimiento
lateral
• Espionaje y aprendizaje de
herramientas y procedimientos de
trabajo
• Acceso a la infraestructura de
gestión para obtener control de los
ATMs
• Infección malware ATM para cambiar
la denominación de los billetes
• Infección malware ATM para ejecutar
comandos remotos de retirada de
efectivo
Referencia: http://securityblog.s21sec.com/2015/02/carbanak-apt-cyberattack-targeting-atms.html
![Page 9: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/9.jpg)
Advanced Persistent Threat
CARBANAK, METEL, GCMAN
2015 - Operación carbanak: robaron 1.000 millones de dólares de 30 bancos
Estos actores atacan a organizaciones financieras mediante el uso de
reconocimiento tipo APT encubierto y malware personalizado junto con
software legítimo y nuevos esquemas innovadores para retirar dinero.
http://www.atodochip.com/2016/02/los-nuevos-ataques-la-banca-son.html
2016 - Los nuevos ataques a la Banca son Carbanak 2.0, Metel y GCMAN
![Page 10: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/10.jpg)
LA PREGUNTAFUNDAMENTAL ES…
![Page 11: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/11.jpg)
¿DÓNDE ENCAJANLOS ATMs?
![Page 12: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/12.jpg)
IT & OT
01Tecnología de la información (IT) es el uso de computadoras
para almacenar, recuperar, transmitir y manipular datos o
información, a menudo en el contexto de una empresa de
negocios.
02Tecnología de la operación (OT) El hardware y software
dedicado para detector o causar cambios en procesos fisicos a
traves de monitoreo y/o control directo de dispositivos fisicos
como bombas, valvulas, etc.
![Page 13: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/13.jpg)
Dispositivos IT vs OT – Naturalmente diferentes
SISTEMAS IT SISTEMAS OTPROPOSITO Genérico Específico
TIEMPO DE VIDA 3- 5 años +20 años
DISPONIBILIDADFalta de disponibilidad tolerable
Reinicio aceptable
24x7x365
Apagones planeados
Reinicio no tolerables
PLATAFORMA
TECNOLÓGICA
Sistemas Operativos COTS (OS)
Actualizaciones son sencillas
COTS OS con configuraciones embebidas y sistemas
propietarios
Actualizaciones dependen de los proveedores
PLATAFORMA DE
HARDWARE
HW COTS
Buen performance
Mantenimientos comunes
Propietarios
Recursos limitados
Mantenimiento frecuente
GESTIÓN DE CAMBIOSCambios aplicados de manera oportunidad y a menudo automatizada
Buenas politicas y procedimientos
Pruebas en pre-producción
Despliegue incremental
Interrupciones planificadas con semanas o meses de antelación
COMUNICACIONESBuen ancho de banda / Estable
Acceso a internet
Pobre ancho de banda / Inestable
Sin acceso a internet
UBICACIÓN Los dispositivos usalmente son locales y de fácil accesoDispositivos pueden estar aislados y remotos, requiriendo
esfuerzo fisico para alcanzarlo.
![Page 14: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/14.jpg)
Dispositivos IT vs OT – Naturalmente diferentes
SISTEMAS IT SISTEMAS OTPROPOSITO Genérico Específico
TIEMPO DE VIDA 3- 5 años +20 años
DISPONIBILIDADFalta de disponibilidad tolerable
Reinicio aceptable
24x7x365
Apagones planeados
Reinicio no tolerables
PLATAFORMA
TECNOLÓGICA
Sistemas Operativos COTS (OS)
Actualizaciones son sencillas
COTS OS con configuraciones embebidas y sistemas
propietarios
Actualizaciones dependen de los proveedores
PLATAFORMA DE
HARDWARE
HW COTS
Buen performance
Mantenimientos comunes
Propietarios
Recursos limitados
Mantenimiento frecuente
GESTIÓN DE CAMBIOSCambios aplicados de manera oportunidad y a menudo automatizada
Buenas politicas y procedimientos
Pruebas en pre-producción
Despliegue incremental
Interrupciones planificadas con semanas o meses de antelación
COMUNICACIONESBuen ancho de banda / Estable
Acceso a internet
Pobre ancho de banda / Inestable
Sin acceso a internet
UBICACIÓN Los dispositivos usalmente son locales y de fácil accesoDispositivos pueden estar aislados y remotos, requiriendo
esfuerzo fisico para alcanzarlo.
![Page 15: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/15.jpg)
Ciberseguridad IT vs OT – Naturalmente diferentes
SYSTEMAS IT SYSTEMAS OT
PROPOSITO Datos Confidencialidad e IntegridadDisponbilidad de la función/
Confiabilidad
OBJETIVO DE LOS
ATAQUES
Información, Movimientos Laterales, Uso
de recursosDoS, Sabotaje, Espionaje, Fraude
VECTORES DE
ATAQUE
Navegación Web
Intrusión física
Intrusión de red
TECNICAS DE ATAQUE Amplia audiencia, dirigida Altamente sofisticada & dirigida
CONCIENTIZACIÓN Buena, para sectores públicos y privados Generalmente pobre
![Page 16: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/16.jpg)
Ciberseguridad IT vs OT – Naturalmente diferentes
SYSTEMAS IT SYSTEMAS OT
PROPOSITO Datos Confidencialidad e IntegridadDisponbilidad de la función/
Confiabilidad
OBJETIVO DE LOS
ATAQUES
Información, Movimientos Laterales, Uso
de recursosDoS, Sabotaje, Espionaje, Fraude
VECTORES DE
ATAQUE
Navegación Web
Intrusión física
Intrusión de red
TECNICAS DE ATAQUE Amplia audiencia, dirigida Altamente sofisticada & dirigida
CONCIENTIZACIÓN Buena, para sectores públicos y privados Generalmente pobre
![Page 17: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/17.jpg)
¿CÓMO ABORDAR DE LA SEGURIDAD DE LOSATMs?
![Page 18: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/18.jpg)
CRUZANDO EL ABISMO
SEGURIDAD DE
LA
INFORMACIÓN
OPERACIONES
ATMsHI!
![Page 19: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/19.jpg)
Paso 1: Entender el ambiente
✓ HW Legacy
✓ Sistemas operativos obsoletos
✓ Accesibilidad física
✓ Muchos actores con privilegios
de administrador
RETOS
✓ Dispositivos de propósito
especificos
✓ HW & SW estáticos
✓ Sin acceso a internet *
VENTAJAS
![Page 20: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/20.jpg)
Paso 2: Entender las amenazas
![Page 21: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/21.jpg)
Paso 3: Entender las tecnologías
“Presunción de inocencia”
PERMITIDO a menos que se pruebe que es
malicioso
“Presunción de culpabilidad”
DENEGAR a menos que se pruebe que es requerido y
legitimo
SEGURIDAD DE ENDPOINT GENÉRICA SEGURIDAD ATM
Encripción de disco duro completa
Protección de integridad de
archivos
Listas Blancasde aplicación
Encripción de discos
Prevenciónde pérdida
de datos
Monitoreo de comportamiento
Escaneo de firmas
![Page 22: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/22.jpg)
Paso 4: Aplicar una protección integral
Communications Protection
Hardware Protection
File Integrity Protection
Application
Whitelisting
Full Disk
Encryption
✓ Bloquear ejecuciones de
malware
✓ Bloquear infecciones de
HW
✓ Bloquear infecciones de
archivos
✓ Bloquear a ataques de
disco duro
✓ Bloquear infecciones de
red
![Page 23: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/23.jpg)
Paso 5: monitorear la seguridad…
…Y REACCIONAR!
![Page 24: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/24.jpg)
CONCLUSIONES
![Page 25: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/25.jpg)
Conclusiones
Los sistemas IT &
OT son diferentes
por naturaleza
“ATMs son
tecnologías
operacionales”
Necesitamos
entender el
ambiente &
amenazas –
Cerrar el GAP
con Securidad de
la información
Los enfoques de
ciberseguridad IT
& OT son
diferentes– “Usar
el martillo
correcto”
![Page 26: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/26.jpg)
¡MUCHAS GRACIAS!
![Page 27: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/27.jpg)
OFFICESMadrid
C/Ramírez de Arellano, 21, CP 28043
Pamplona
P.E. La Muga, CP 31160, Orcoyen
Barcelona
C/Tarragona, 141-157, Piso 14, CP 08014
San Sebastián
P.E. Zuatzu, Ed. Urgull, 2º, CP 20018
León
Edificio CEBT, Calle Santos Ovejero 1. Oficina PB08
Bilbao
C/ Camino de LaidaEdificio 207, Bloque B 1º planta
Vitoria - Gasteiz
Edificio AzucareraAvda. de los Huetos 75, oficina 38
Lisboa
Rua do Viriato, 13B, 4º Andar. 1050-233, PT
Porto
Lugar do Espido, via norte4470-177. Maia
Ciudad de Mexico
Calle Río Pánuco, 108. Colonia Renacimiento, Ciudad de México
![Page 28: Enfrentando los ciberataques en redes de ATMs](https://reader036.vdocumento.com/reader036/viewer/2022071506/62cfb6bb277bb2617a178d98/html5/thumbnails/28.jpg)
linkedin.com/company/s21sec
facebook.com/pages/S21sec
twitter.com/@S21sec
instagram.com/s21_sec
www.s21sec.com