Redazione RHC : 23 noviembre 2025 09:39
Los expertos del Grupo IB presentaron un análisis detallado de la prolongada campaña UNC2891, que demostró la continua sofisticación de los esquemas de ataque a los cajeros automáticos.
La atención se centró en la Raspberry Pi, que los atacantes usaron para acceder a la infraestructura de dos bancos indonesios. Sin embargo, se descubrió que la intrusión física en el cajero automático era solo una parte de una operación criminal más amplia, diseñada para controlar todo el proceso, desde la vulneración del host hasta la retirada de efectivo, a través de una red de proxies.
Según Group-IB , UNC2891 llevó a cabo tres intrusiones separadas: contra un banco en febrero de 2022, contra otro en noviembre de 2023 y luego nuevamente contra el primero en julio de 2024.
Se utilizó el mismo paquete STEELCORGI en todos los casos, lo que permitió vincular los incidentes. Durante la primera intrusión, los atacantes obtuvieron el control de más de 30 sistemas, asegurando una presencia a largo plazo en la infraestructura de la organización.
El informe muestra que la interferencia técnica era solo una parte del plan general . El grupo reclutaba activamente intermediarios para retirar fondos mediante la publicación de anuncios en buscadores y canales anónimos. La entrega de los equipos de procesamiento de tarjetas clonados se gestionaba por correo electrónico, y el proceso de retiro se controlaba de forma remota mediante TeamViewer o instrucciones de voz de los coordinadores.
El elemento clave del complejo de ataque fue el módulo de malware CAKETAP, un rootkit modificado que interceptaba y modificaba mensajes dentro de la lógica de los cajeros automáticos, evadiendo la verificación del PIN. Además, CAKETAP interfería con las respuestas ARQC de los módulos de hardware HSM, lo que permitía usar tarjetas falsificadas como si fueran legítimas. Dado el uso activo del acceso físico, esta combinación permitió al grupo operar prácticamente sin ser detectado.
Un conjunto de programas desarrollados a medida garantizó la presencia persistente en la infraestructura. TINYSHELL creó conexiones ocultas al servidor de C&C mediante DNS dinámico; SLAPSTICK recopiló credenciales utilizando la biblioteca PAM previamente implementada; SUN4ME construyó un diagrama de red interna e identificó los hosts de interés; se proporcionaron canales de comunicación alternativos mediante tunelización DNS, conexiones VPN abiertas y canales HTTPS seguros.
Para ocultar su presencia, se utilizaron las herramientas LOGBLEACH y MIGLOGCLEANER para eliminar rastros de los registros. Scripts de inicio adicionales y archivos de servicio systemd activaron puertas traseras tras los reinicios. La visibilidad de los módulos maliciosos se redujo enmascarándolos con nombres comunes del sistema y utilizando técnicas de montaje /proc, lo que dificultó su análisis.
El Grupo IB vincula los tres episodios mediante claves criptográficas idénticas integradas en STEELCORGI . Esta repetición de artefactos clave en diferentes períodos indica un solo equipo que opera desde hace varios años y cuenta con los recursos necesarios para el mantenimiento de la infraestructura, la logística y la gestión remota de la red de primera línea.
Los analistas enfatizan que la disminución de incidentes de alto perfil en cajeros automáticos no significa que la amenaza haya desaparecido. El ejemplo de UNC2891 demuestra que la atención se ha centrado en esquemas combinados, en los que la intrusión física se combina con una preparación técnica exhaustiva, y la cadena de retiro se diseña con el mismo cuidado que los mecanismos maliciosos del banco.
RedazioneLa empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
