AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Actor UNC2891 emplea Raspberry Pi con 4G para comprometer infraestructuras de cajeros automáticos

admin

Introducción

En un reciente incidente que pone en alerta a la industria financiera, el grupo de amenaza persistente UNC2891 ha sido detectado ejecutando ataques dirigidos contra infraestructuras de cajeros automáticos (ATM) mediante el uso de dispositivos Raspberry Pi equipados con conectividad 4G. Esta campaña evidencia la evolución de los ataques ciberfísicos y la sofisticación creciente de actores motivados económicamente, capaces de combinar técnicas tradicionales de intrusión con métodos de acceso físico y tecnologías de bajo coste para maximizar el impacto y evadir la detección.

Contexto del Incidente o Vulnerabilidad

UNC2891, catalogado por varios equipos de inteligencia de amenazas como un actor motivado por beneficios económicos y activo en operaciones contra entidades financieras, ha centrado su atención en los sistemas de cajeros automáticos, tradicionalmente considerados como infraestructuras críticas. El incidente recientemente documentado muestra cómo los atacantes aprovechan la proximidad física para introducir dispositivos maliciosos en redes internas protegidas, eludiendo controles perimetrales y de segmentación.

El vector de ataque principal implica la plantación física de un dispositivo Raspberry Pi modificado, dotado de capacidad de comunicación móvil 4G. Este dispositivo se conecta al mismo switch de red que el ATM, permitiendo al atacante monitorizar, interceptar y manipular el tráfico de red, así como desplegar cargas útiles adicionales remotamente, gracias a la conectividad móvil independiente de la red corporativa.

Detalles Técnicos

El ataque se fundamenta en la explotación del acceso físico al entorno del ATM, un factor de riesgo que muchas veces queda relegado en los modelos de defensa. El dispositivo utilizado —un Raspberry Pi de bajo perfil— se equipa con un módem 4G USB y se configura con herramientas de pentesting Linux estándar, como nmap para el reconocimiento, tcpdump para la captura de tráfico, y utilidades de tunelización como autossh para el acceso remoto seguro.

Los TTPs (tácticas, técnicas y procedimientos) identificados por los equipos de respuesta a incidentes se alinean con los siguientes subcomponentes MITRE ATT&CK:

– **T1190: Exploit Public-Facing Application**: Aprovechamiento de servicios expuestos del ATM.
– **T1071.001: Application Layer Protocol: Web Protocols**: Comunicación sobre HTTP/HTTPS para exfiltración y control.
– **T1090: Proxy**: Uso de túneles cifrados para eludir sistemas de monitorización.
– **T1200: Hardware Additions**: Implantación de hardware malicioso en la infraestructura víctima.

En algunos casos, se han reportado intentos de explotación de vulnerabilidades específicas en sistemas operativos propietarios de ATMs (Windows Embedded, versiones 7 y XP Embedded), así como en servicios de administración de red insuficientemente segmentados.

Los indicadores de compromiso (IoCs) detectados incluyen direcciones MAC de dispositivos Raspberry Pi, patrones de tráfico saliente inusual hacia redes móviles y conexiones SSH persistentes hacia direcciones IP asociadas a proveedores de servicios 4G.

Impacto y Riesgos

La implantación de dispositivos maliciosos en redes de ATMs supone un riesgo elevado para las entidades financieras. No solo permite la interceptación de datos sensibles, incluyendo transacciones y credenciales, sino que también posibilita ataques de tipo «jackpotting» (dispensación fraudulenta de dinero), manipulación de firmware y sabotaje de servicios críticos.

Según estimaciones recientes, más del 60% de los ATMs instalados en la eurozona mantienen arquitecturas de red vulnerables a ataques ciberfísicos debido a la falta de controles de acceso físico y segmentación adecuada. Las pérdidas por fraudes asociados a ATMs en la UE superan los 300 millones de euros anuales, según datos del European Association for Secure Transactions (EAST).

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, se recomienda implementar controles estrictos de acceso físico, como sensores de apertura en racks y cámaras de vigilancia con IA. La segmentación de red mediante VLANs y firewalls internos es imprescindible para aislar los ATMs de otros sistemas críticos.

Es fundamental desplegar soluciones de monitorización de red capaces de detectar dispositivos no autorizados mediante técnicas de fingerprinting y análisis de tráfico anómalo. El uso de protocolos de autenticación robustos (802.1X) en switches y la revisión constante de logs de conexiones físicas pueden prevenir la persistencia de dispositivos externos.

Además, se recomienda la actualización continua de los sistemas operativos de los ATMs y la aplicación de parches de seguridad, así como la formación periódica del personal de mantenimiento en procedimientos de ciberseguridad.

Opinión de Expertos

Analistas de amenazas de Mandiant y Kaspersky coinciden en que la convergencia de ataques físicos y lógicos representa una tendencia creciente en el sector de amenazas financieras. “Un pequeño dispositivo con acceso 4G puede dejar obsoletos muchos controles perimetrales que aún confían en la segmentación lógica”, advierte Dmitry Bestuzhev, jefe de investigación de amenazas en Kaspersky.

Asimismo, los expertos señalan que la adaptación de marcos regulatorios como NIS2 y la aplicación rigurosa de GDPR en la protección de datos personales pueden servir de acicate para que las entidades financieras incrementen sus inversiones en ciberseguridad proactiva.

Implicaciones para Empresas y Usuarios

Las entidades financieras deben reevaluar sus políticas de seguridad física y lógica, adoptando una postura Zero Trust también en el entorno de los ATMs. Los usuarios finales, por su parte, deben extremar la vigilancia y reportar cualquier manipulación sospechosa en los cajeros automáticos.

El cumplimiento normativo, especialmente con la entrada en vigor de NIS2 y la obligación de notificación de incidentes a las autoridades, será clave para la gestión adecuada de riesgos y la minimización del impacto reputacional y económico.

Conclusiones

El incidente protagonizado por UNC2891 demuestra la urgente necesidad de reforzar la seguridad en la intersección de los mundos físico y digital. La facilidad con la que dispositivos como Raspberry Pi pueden ser desplegados en entornos críticos exige una revisión integral de las defensas, no solo tecnológicas, sino también procedimentales y humanas.

El futuro de la ciberseguridad bancaria pasará, inevitablemente, por la integración de soluciones holísticas que contemplen tanto las amenazas tradicionales como los vectores ciberfísicos emergentes.

(Fuente: feeds.feedburner.com)