EN 
FR 
DE 
ES 
Dopo un 2022 record in termini di cybercrimine, anche l’avvio del nuovo anno vede il settore bancario oggetto di minacce sempre più sofisticate e sistematiche che in molti casi prendono di mira l’infrastruttura ATM – complice la sua crescente interconnessione con gli archivi cloud, le app di pagamento e le reti aziendali.
In particolare, uno dei fenomeni più diffusi a livello globale è l’ATM Jackpotting, una tecnica cybercriminale già in uso da diversi anni che ha causato enormi perdite economiche agli operatori ATM.
Il caso FiXS in Messico
L’ultima minaccia, che sta già creando scompiglio in America Latina, specialmente in Paesi come il Messico, come messo in evidenza dalla società di cybersicurezza MetabaseQ che con il suo recente rapporto, risale alla fine di febbraio 2023, e dimostra l’esistenza di una nuova variante di malware per ATM denominata FiXS, la quale permette di rubare contante dall’ATM.
FiXS ottiene l’accesso illegittimo al middleware XFS (eXtended Financial Services) che controlla i dispositivi harware degli ATM.
Collegandosi a XFS, FiXS può inviare comandi direttamente all’erogatore ATM, aggirando completamente il processo di autorizzazione della transazione. In questo modo, FiXS è in grado di attaccare diversi modelli di ATM, indipendetemente dal vendor. Se la situazione attuale vede coinvolto il sistema bancario messicano, il rischio di espansione europea è concreto.
La centralità del modello Zero Trust
In un panorama caratterizzato dalla proliferazione degli attacchi, comprendere che ogni organizzazione che gestisce una rete ATM è un potenziale bersaglio di attacchi Jackpotting è fondamentale, perché permette l’applicazione di contromisure di cybersicurezza efficienti per le infrastrutture critiche quali gli ATM, preposti a fornire servizi essenziali per gli utenti, e che devono quindi garantire disponibilità e affidabilità del servizio in modo continuativo.
Dal punto di vista della sicurezza, i dispositivi ATM sono molto difficili da proteggere con le tecnologie tradizionali: da un lato la mancanza di politiche di aggiornamento proattive, dall’altro la costante esposizione del dispositivo per l’accesso fisico creano un ambiente intrinsecamente vulnerabile che lo rendono un touchpoint estremamente delicato.
Nel panorama della cybersecurity, gioca un ruolo fondamentale il modello Zero Trust. Il compito di questo modello è quello di svolgere una serie di ipotesi sospette sulla vulnerabilità dell’infrastruttura tradizionale che gestisce i dispositivi, interrogando ogni accesso e ipotizzando che il sistema di accesso remoto possa essere manipolato, che il sistema di distribuzione del software possa essere utilizzato per distribuire malware, che il tecnico della manutenzione o l’utente finale stesso possano essere probabili hacker o che il disco rigido possa essere rubato per effettuare attività di reverse engineering.
Che cosa significa? Il valore della strategia Zero Trust implica un radicale cambiamento nel paradigma della sicurezza con il passaggio da un modello di legittimità basato su fonti esterne e analisi del comportamento a un approccio proattivo. Secondo il punto di vista di Auriga, uno dei primi punti più critici risiede proprio nella drastica riduzione della superficie di attacco. In secondo luogo, è strettamente necessario un controllo stringente delle modifiche all’ATM, bloccando qualsiasi tentativo di modifica del software o dell’hardware che non sia stato esplicitamente autorizzato.
Lookwise Device Manager
Sull’approccio Zero Trust si basa Lookwise Device Manager (LDM), la soluzione sviluppata da Auriga per la cybersecurity dei dispositivi self service di una banca, quali ATM e ASST.
Con l’obiettivo di proteggere l’ATM in tutte le fasi del ciclo di vita grazie a un attento monitoraggio dell’intera infrastruttura, LDM, che si basa sui principi NIST (National Institute of Standards and Technology), offre i diversi livelli di protezione in un’unica piattaforma. LDM è stato progettato per integrarsi perfettamente con le principali procedure operative degli sportelli automatici e per garantire che qualsiasi modifica apportata agli stessi (software e hardware) sia completamente controllata e protetta. Nel caso di FiXS, protegge il dispositivo nelle diverse fasi del ciclo di vita dell’attacco (preparazione, infezione, persistenza ed esecuzione) grazie al suo modello di protezione a più livelli completo che include crittografia del disco rigido, controllo dell’integrità del registro di Windows e del file system e il suo sistema di whitelist per applicazioni, dispositivi hardware e comunicazioni.
