Distintos grupos de ciberdelincuentes norcoreanos han sido identificados empleando una variante del malware «FASTCash» para realizar retiros fraudulentos de cajeros automáticos en diversas partes del mundo. Este malware, que anteriormente se dirigía a sistemas basados en Windows y Unix, ahora ha sido adaptado para atacar servidores de pago que operan con Linux, ampliando el alcance de sus ataques.
A través de la manipulación de transacciones en tiempo real, los hackers norcoreanos logran interceptar y modificar mensajes financieros clave, permitiendo que retiros no autorizados sean aprobados. ¿Y cómo lo hace FASTCash para eso? Infiltrándose en los servidores de las redes bancarias que gestionan las transacciones con tarjetas de débito y crédito, específicamente en los conmutadores de pago.
Estos dispositivos (los conmutadores de pago) funcionan como intermediarios entre los bancos emisores y adquirentes, validando o rechazando las transacciones. FASTCash aprovecha fallos en la configuración de los sistemas para interceptar mensajes que rechazan transacciones por fondos insuficientes, modificándolos para que sean aprobados.
El método de ataque de los norcoreanos
El ataque —eso sí— se ejecuta mediante la instalación del malware en conmutadores comprometidos dentro de redes que procesan transacciones bancarias. Este software malicioso manipula los mensajes estándar ISO 8583, utilizados para comunicar las solicitudes de transacción en sistemas financieros, alterando específicamente aquellas que son rechazadas debido a falta de fondos. La variante Linux de FASTCash autoriza estas transacciones, permitiendo que los atacantes retiren sumas significativas de dinero desde cajeros ubicados en múltiples países.
Uno de los casos más recientes reveló que el malware permite retirar entre 12.000 y 30.000 liras turcas (aproximadamente entre $350 y $875 dólares) por cada transacción fraudulenta. Estos ataques, que anteriormente se concentraban en bancos en África y Asia, han afectado a instituciones financieras en más de 30 países simultáneamente. Se ha detectado que los ciberdelincuentes norcoreanos, a menudo vinculados con el grupo «Hidden Cobra», han estado utilizando esta herramienta desde al menos 2016, y que en algunos casos se han extraído fondos en cajeros automáticos en más de 23 países a la vez.
Los expertos en seguridad han recomendado implementar medidas de seguridad adicionales, como la autenticación de mensajes y la validación de criptogramas, especialmente en transacciones que utilizan tarjetas con chip y PIN.
