Il malware FASTCash, già noto dal 2018, ha recentemente allertato il mondo bancario portando l’attezione su una nuova ondata di attacchi sempre più sofisticati. Questo malware, attribuito a gruppi di hacker legati alla Corea del Nord, è stato protagonista in passato di frodi multimilionarie, riuscendo a colpire istituti bancari in più geografie contemporaneamente.
Documentato per la prima volta dal governo degli Stati Uniti nell’ottobre 2018, FASTCash compromette i server delle applicazioni bancarie, abilitando prelievi fraudolenti simultanei dagli ATM. Gli attacchi, che inizialmente prendevano di mira i sistemi basati su Microsoft Windows e IBM AIX, hanno coinvolto negli ultimi mesi anche le piattaforme del sistema operativo Linux. Questa evoluzione aumenta significativamente la componente di rischio ampliando il raggio d’azione dell’attacco.
Come agisce FASTCash? Gli attacchi sono spesso eseguiti attraverso campagne di spear-phishing che prendono di mira i dipendenti bancari, consentendo agli hacker di infiltrarsi nelle reti interne e prendere il controllo dei server critici. Una volta completato l’ingresso, FASTCash opera monitorando i messaggi di transazione e verificando il Primary Account Number (PAN) rispetto a un elenco hardcoded di PAN associati agli account compromessi. Individuata una corrispondenza, il malware genera risposte di approvazione fraudolente facilitando così i prelievi di contanti non autorizzati. Gli aggressori coordinano questi prelievi in modo che avvengano simultaneamente su molteplici sportelli bancomat, sfruttando le vulnerabilità nei sistemi bancari per rubare ingenti somme di denaro.
Inoltre, è estremamente difficile registrarne il rilevamento prima dell’azione fraudolenta: il malware, infatti, rimane silente durante tutte le altre transazioni e si attiva solo quando intercetta un numero PAN criptato. Questo significa che potrebbe restare inattivo per mesi, in attesa di procedere una volta individuata una carta di credito con un PAN compromesso.
Il ritorno di FASTCash rappresenta un campanello di allame per il settore bancario globale. La sua capacità di evolversi e adattarsi a nuove piattaforme rende indispensabile l’adozione di strategie di difesa avanzate. Oggi, gli attacchi non si limitano più ai tradizionali sistemi bancari; l’interconnessione globale e la crescente dipendenza da tecnologie digitali richiedono approcci proattivi e soluzioni multilivello, per proteggere ogni fase del ciclo di vita degli ATM e ridurre al minimo le superfici di attacco.
La visione di Auriga
Per fronteggiare minacce sofisticate come il malware FASTCash, Auriga propone una strategia integrata per la protezione del sistema bancario attraverso WinWebServer (WWS), la soluzione flessibile e scalabile per il banking omnicanale, arricchita da ulteriori elementi che ne rafforzano il livello di sicurezza:
-
Implementazione di protocolli di sicurezza avanzati come il TLS
Auriga adotta il protocollo TLS (Transport Layer Security) per criptare le comunicazioni tra WWS e i sistemi centrali delle banche. TLS protegge i dati trasmessi con algoritmi crittografici, rendendoli illeggibili agli hacker e prevenendo attacchi di tipo man-in-the-middle. Questo protocollo garantisce la riservatezza e l’integrità delle informazioni scambiate, essenziale per contrastare attacchi come FASTCash.
-
Meccanismi di sicurezza per l’integrità dei messaggi: il MAC
Con l’implementazione di MAC (Message Authentication Code) viene garantita l’integrità dei messaggi scambiati tra gli ATM e i sistemi bancari centrali. Il MAC utilizza chiavi simmetriche per generare un codice di autenticazione che accompagna ogni messaggio, operando come una firma digitale. Questo meccanismo impedisce agli attaccanti di manipolare i messaggi senza essere rilevati, garantendo che ogni transazione sia verificata in modo sicuro e dimunuendo drasticamente il rischio di manomissioni.