Em uma jogada inédita, criminosos virtuais implantaram um Raspberry Pi equipado com modem 4G na rede de um banco não identificado, tentando desviar recursos do sistema de autoatendimento (ATM). Pesquisadores da empresa de segurança Group-IB descobriram que a técnica usada pelos hackers foi revolucionária, permitindo bypass total nas defesas periféricas do banco.
Os invasores combinaram um ataque físico com malware de acesso remoto que utilizou uma nova técnica para se esconder, inclusive de ferramentas forensicas sofisticadas. Chamada de A Linux bind mount, essa técnica é usada na administração de TI, mas nunca havia sido vista em ações de ameaças.
O dispositivo foi conectado ao mesmo switches de rede usado pelo sistema ATM do banco, colocando-o effectively dentro da rede interna. O objetivo era comprometer o servidor de switches de autoatendimento e controlar a unidade de segurança física do banco, que armazena segredos como credenciais e assinaturas digitais.
O grupo responsável pelo ataque é rastreado pela indústria com o nome UNC2891. Ativo desde 2017, ele foca em infraestruturas bancárias e é conhecido por seu uso aberto de malware customizado em sistemas Linux, Unix e Solaris.
A operação foi detectada antes que os criminosos pudessem infectar o sistema ATM com um backdoor chamado CakeTap, usado para retirada ilegal de dinheiro. A análise da Group-IB revelou que os hackers também comprometeram um servidor de e-mail para manter persistência na rede.
Essa história é um lembrete doloroso do quanto as ameaças cibernéticas evoluíram, mesclando técnica e criatividade para burlar sistemas aparentemente seguros. Nosso mundo digital é um oceano de oportunidades... e riscos.
