Un malware che fa sputare soldi agli sportelli automatici si sta diffondendo in tutto il mondo

Alle 10 di un mattino di novembre, a Friburgo, in Germania, l'impiegato di una banca ha notato qualcosa di strano in uno degli sportelli automatici del bancomat.

Era stato hackerato da un pezzo di malware chiamato "Cutlet Maker," che è progettato per far sì che uno sportello sputi fuori tutti i contanti che ha, stando a un agente di polizia che ha seguito il caso.

"Oh-oh-oh! Facciamo un po' di cotolette oggi!" recitava la scritta sul pannello di controllo di Cutlet Maker, accompagnata dal disegno di uno chef e di un pezzo di carne fritta dall'aria felice. La frase sarebbe un gioco di parole in russo, per cui con "cotoletta" non si intende solo la pietanza, ma anche una mazzetta di banconote.

Un'indagine condotta da Motherboard e dalla emittente tedesca Bayerischer Rundfunk (BR) ha scoperto nuovi dettagli sull'epidemia di attacchi—detti di "jackpotting"—che hanno colpito diversi sportelli automatici in Germania nel 2017, risultando nel furto di oltre un milione di euro in tutto. Il termine jackpotting indica la tecnica per cui un cybercriminale usa un malware o un pezzo di hardware per prelevare tutti i contanti di uno sportello automatico, senza bisogno di una carta di credito rubata. Gli hacker in genere installano il malware aprendo fisicamente un pannello sulla macchina che nasconde una porta USB.

In alcuni dei casi presi in esame dall'indagine, abbiamo identificato la banca e l'azienda che ha prodotto lo sportello colpito. Per quanto una no-profit abbia detto che gli attacchi di jackpotting sono diminuiti in Europa nella prima metà dell'anno, diverse fonti sostengono invece che il numero di attacchi in altre parti del mondo stia aumentando. Le zone colpite comprendono Stati Uniti, America Latina e Sud-Est asiatico, e il problema riguarda banche e produttori di sportelli automatici di tutti i tipi.

"Gli Stati Uniti sono piuttosto popolari," ha detto una fonte vicina agli attacchi. Motherboard e BR hanno garantito a molteplici fonti, compresi gli agenti delle forze dell'ordine, l'anonimato, affinché potessero parlare più esplicitamente degli incidenti.

Durante la conferenza annuale di cybersicurezza Black Hat del 2010, il ricercatore Barnaby Jack aveva dato dimostrazione dal vivo del suo ceppo di malware per sportelli automatici. Dal pubblico si era levato un applauso, mentre sullo schermo della macchina compariva la parola "JACKPOT" e un fiume di banconote esplodeva verso l'esterno.

Ora, attacchi simili vengono sferrati anche nel mondo di tutti i giorni.

Nel caso di Friburgo non è stato rubato contante, hanno detto gli agenti di polizia. Ma Christoph Hebbecker, un procuratore dello stato tedesco della Renania Settentrionale-Vestfalia, ha detto che il suo ufficio sta indagando su 10 incidenti avvenuti tra febbraio e novembre 2017, compresi alcuni attacchi in cui i ladri sono riusciti a fare incetta di contanti. In tutto, gli hacker hanno rubato 1,4 milioni di euro, ha detto Hebbecker.

Hebbecker ha aggiunto che, data la natura simile degli attacchi, crede che siano tutti stati condotti alla stessa banda criminale. In alcuni casi, i procuratori hanno anche delle prove video, ma nessun sospetto, almeno per ora.

"Le indagini sono ancora in corso," ha detto Hebbecker in una email in tedesco.

Molteplici fonti hanno riportato che diversi degli attacchi del 2017 in Germania hanno colpito la banca di Santander; due fonti hanno detto che le macchine coinvolte erano Wincor 2000xe, fatte dall'azienda Diebold Nixdorf.

"In generale, non forniamo commenti su casi singoli," ha detto per telefono Bernd Redecker, direttore della sicurezza aziendale e della gestione frodi alla Diebold Nixdorf. "Ad ogni modo, stiamo ovviamente affrontando la situazione con i clienti e siamo aggiornati sui casi." La Diebold Nixdorf ha venduto queste stesse macchine anche sul mercato americano.

Un portavoce della banca Santander ha detto via email che, "proteggere le informazioni dei nostri clienti e l'integrità della nostra rete fisica è al centro di ciò che facciamo. I nostri esperti sono coinvolti in ogni passaggio dello sviluppo del prodotto e delle operazioni atte a proteggere i clienti e la banca dalle frodi e dalle minacce informatiche. Questa stessa dedizione nel proteggere i nostri dati e le nostre operazioni ci impedisce di commentare su questioni di sicurezza specifiche."

Agenti delle forze dell'ordine a Berlino sostengono di aver affrontato almeno 36 episodi di jackpotting dalla primavera 2018, che sono risultati in diverse migliaia di euro rubati. Non hanno voluto dire il nome del malware utilizzato.

In tutto, le autorità hanno registrato 82 attacchi di jackpotting in Germania tra le diverse regioni negli ultimi anni, stando ai portavoce dei diversi distretti e questure. Ad ogni modo, non tutti gli attacchi si sono conclusi con un "prelievo" di successo.

È importante ribadire che il jackpotting degli sportelli bancomat non è limitato a una singola banca o singolo produttore di macchine di questo tipo. È probabile che altri attacchi abbiano colpito altre banche oltre alla Santander; questi sono semplicemente gli attacchi che la nostra indagine ha saputo identificare.

"Succede in modo trasversale: il fenomeno non si concentra su una macchina specifica, né su un brand specifico, e decisamente non in una sola regione," ha detto Redecker.

Parte dei problemi di sicurezza per gli sportelli automatici è che molti sono, essenzialmente, vecchi computer Windows.

"Sono macchine molto vecchie e lente," ha detto la fonte vicina agli attacchi.

I produttori di sportelli automatici hanno migliorato le misure di sicurezza dei loro dispositivi, ha sottolineato Redecker della Diebold Nixdorf. Ma questo non significa necessariamente che tutti gli sportelli nel settore siano conformi allo stesso standard.

E la responsabilità nel rendere sicuro l'accesso agli sportelli ricade anche sulle banche.

"per poter eseguire un attacco di jackpotting, devi avere accesso ai componenti interni di una macchina. Per cui, prevenire gli attacchi fisici è già metà del lavoro per impedire un tentativo di jackpotting," ha detto via email David N. Tente, direttore esecutivo per USA, Canada e America centrale e del Sud alla ATM Industry Association (ATMIA).

Redecker ha detto di aver visto attacchi in tutto il mondo già nel 2012, mentre la Germania ha sofferto il primo colpo a Berlino nel 2014.

Intorno allo stesso periodo degli attacchi del 2017, i ricercatori dell'azienda di cybersicurezza Kaspersky hanno pubblicato una ricerca che mostrava il malware Cutlet Maker in vendita nei forum di hacking a partire da maggio di quell'anno. A quanto pare, bastava avere un paio di migliaia di euro per comprare il malware e tentare la fortuna.

"Certa gente vende questi [malware] a chiunque," ha commentato David Sancho, ricercatore all'azienda di cybersicurezza Trend Micro, che collabora con l'Europol sui casi di jackpotting. Questo ha fatto sì che piccoli criminali abbiano iniziato a prendere di mira gli sportelli automatici, ha aggiunto.

"Potenzialmente, qualsiasi paese nel mondo può essere colpito," ha detto Sancho.

Motherboard ha parlato con un cybercriminale che sostiene di vendere il malware Cutlet Maker.

"Sì, lo vendo io. Costa 1000 dollari," ci ha scritto per email, aggiungendo che può anche offrire aiuto su come usarlo. Il venditore ha fornito degli screenshot di un manuale di istruzioni in russo e inglese, che spiega passo passo agli utenti come svuotare uno sportello bancomat. Il libretto include anche sezioni su come controllare quante banconote sono contenute in uno sportello e come installare il malware.

La EAST (European Association for Secure Transactions), una no-profit che traccia le frodi finanziarie, in un report pubblicato questo mese ha detto che gli attacchi di jackpotting sarebbero diminuiti del 43 percento nel corso dell'anno scorso. Ma è bene sottolineare che il report di EAST copre solo l'Europa.

"Succede in parti del mondo dove non c'è nessuno a cui puoi dirlo," ha detto la fonte vicina agli attacchi. "Stanno aumentando ma, di nuovo, il problema più grande è che nessuno vuole parlarne."

Sottostimare il problema ha con tutta probabilità contribuito ai picchi di attacchi di jackpotting. A gennaio 2018, i servizi segreti statunitensi hanno iniziato ad avvisare le istituzioni di credito dei primi attacchi di jackpotting negli Stati Uniti, seppure questi usavano un altro pezzo di malware, chiamato Ploutus.D.

"A livello globale, la nostra perizia del 2019 indica che gli attacchi stanno aumentando," ha detto via email Tente della ATMIA.

Come ha detto la fonte vicina agli attacchi, "Accadono di continuo, ma la maggior parte delle volte non sono pubblicizzati."