Jafurile armate sunt istorie. Infractorii moderni pot goli bancomatele fără să lase nicio urmă

Jafurile armate sunt istorie. Infractorii moderni pot goli bancomatele fără să lase nicio urmă

Descoperite în general a doua zi, când angajaţii băncii găsesc ATM-ul golit de ani, atacurile „fileless” dau mari bătăi experţilor în securitate care cu greu găsesc indicii care să dezvăluie identitatea atacatorilor sau modul de operare.

Fără urme ale vreunei interacţiuni fizice cu dispozitivul sau program malware, experţii Kaspersky Lab au reuşit în cele din urmă să înţeleagă instrumentele infractorilor cibernetici folosite în jaf şi să reproducă ei înşişi atacul, descoperind o breşă de securitate în cadrul băncii.

Pentru a nu lăsa urme, infractorii au folosit in-memory malware ca să infecteze reţelele băncilor, componentele software rezidente doar în memoria RAM a dispozitivelor dispărând la prima repornire a dispozitivului.

Investigaţia a început după ce specialiştii băncii au recuperat şi distribuit către Kaspersky Lab două fişiere conţinând înregistrări malware de pe hard drive-ul ATM-urilor (kl.txt şi logfile.txt). Acestea au fost singurele fişiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au şters. Dar chiar şi această cantitate infimă s-a dovedit suficientă pentru o investigaţie de succes.

Printre fişierele-jurnal, experţii Kaspersky Lab au reuşit să identifice fragmente de informaţii în plain text care i-au ajutat să creeze o regulă Yara şi să găsească o mostră. Regulile YARA - simplificat, şiruri de caractere de căutare - îi ajută pe analişti să găsească, să grupeze, să clasifice mostre de malware similare şi să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau reţele ce prezintă similitudini. 

După o zi de aşteptare, experţii au găsit o mostră de malware: „tv.dll" sau ”ATMitch”, cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: o dată în Kazahstan şi o dată în Rusia.

Programul malware este instalat de la distanţă şi pus în executare pe un bancomat al băncii vizate, care este administrat remote. După ce este instalat şi conectat la ATM, malware-ul „ATMitch”  comunică cu bancomatul ca şi cum ar fi un program legitim. Acest lucru face posibil ca atacatorii să pună în aplicare o listă de comenzi, cum ar fi să colecteze informaţii despre numărul bancnotelor din ATM-uri. Mai mult, le permite infractorilor să retragă bani la orice oră, doar prin atingerea unui buton, scrie go4it.ro.

În general, infractorii încep prin a afla informaţii despre suma de bani pe care un aparat o are. După aceasta, un infractor poate să trimită o comandă pentru a scoate orice număr de bancnote, de la orice bancomat. După ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia şi să plece. Un jaf de acest gen la un ATM durează doar câteva secunde.

Încă nu se ştie cine este în spatele atacurilor. Utilizarea exploit-urilor open source, a utilitarelor din Windows şi a domeniilor necunoscute, în timpul primei etape a operaţiunii, face aproape imposibilă aflarea grupului responsabil. Însă, "tv.dll", folosit în faza ATM a atacului, conţine elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN şi Carbanak.

„S-ar putea ca atacatorii să fie activi încă, dar nu vă îngrijoraţi! Combaterea acestor tipuri de atacuri necesită anumite cunoştinţe din partea specialiştilor în securitate care protejează organizaţia vizată”, spune Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.

„O breşă reuşită şi extragerea informaţiilor dintr-o reţea pot să fie efectuate doar cu instrumente comune şi legitime; după atac, infractorii pot să şteargă toate informaţiile care ar conduce la detectarea lor şi să nu lase nicio urmă. Pentru a răspunde acestor probleme, analiza memoriei devine o parte critică din analiza malware-ului şi a funcţiilor sale. Şi, aşa cum dovedeşte cazul nostru, un răspuns eficient la incident poate să contribuie chiar şi la rezolvarea unei infracţiuni cibernetice aparent perfecte. ”

Produsele Kaspersky Lab detectează operaţiunile folosind tacticile, tehnicile şi procedurile de mai sus.

Avem puterea să ne ajutăm unii pe ceilalți….

Dacă și tu crezi că ceea ce citești pe acest site sunt informații importante, atunci susține munca redacției AGORA cu un abonament digital ca să devină mai bună, să facă știri deosebite, interviuri mai interesante, articole și povești care să te facă să vrei să le recitești și să le distribui prietenilor tăi.

Mai mult, răsplătim fiecare abonat cu un set de produse locale, împachetate cu dragoste de echipa de la From the Heart Shop, astfel contribuim împreună la promovarea produselor de-acasă, din Moldova.

Devino de astăzi Susținător, Fan sau Ambasador AGORA

Vezi și aceste știri
Italia: Sute de medici, suspendați din activitatea din cauza că nu erau vaccinați

Italia: Sute de medici, suspendați din activitatea din cauza că nu erau vaccinați

Guvernul reacționează la deciziile luate de CTESP Orhei: „Aceste decizii sunt nule”

Guvernul reacționează la deciziile luate de CTESP Orhei: „Aceste decizii sunt nule”

De săptămâna viitoare taximetrele ar putea renunța la activitate . Care este motivul

De săptămâna viitoare taximetrele ar putea renunța la activitate . Care este motivul

Advertoriale
Endava Internship: Avantajele unui stagiu în Applications Management

Endava Internship: Avantajele unui stagiu în Applications Management

IuteCredit a achiziționat 10% din acțiunile Energbank

IuteCredit a achiziționat 10% din acțiunile Energbank

Cum să vă echilibrați alimentația după mesele copioase de sărbători cu ajutorul produselor proaspete? METRO are soluția!

Cum să vă echilibrați alimentația după mesele copioase de sărbători cu ajutorul produselor proaspete? METRO are soluția!

E un efort pe care nu-l putem face
singuri, așa că te așteptăm alături de noi
EMISIUNI
  • Copiii știu mai bine: Clasa politică, la control (VIDEO)
    Copiii știu mai bine: Clasa politică, la control (VIDEO)
  • Copiii știu mai bine: Ce-și doresc femeile? Ce-și doresc bărbații? (VIDEO)
  • Copiii știu mai bine: Pune-un ban deoparte (VIDEO)
  • Copiii știu mai bine: Totul despre bani (VIDEO)
  • Copiii știu mai bine: Care-i treaba cu șefii, ce mașini conduc și de ce au camere video în birou (VIDEO)
Cele mai populare
  • 1
    Maia Sandu, despre un eventual atac asupra Ucrainei din direcția regiunii transnistreane: „Noi monitorizăm foarte serios situația”
  • 2
    Ultima oră! Gazul metan s-a scumpit și a depășit 17 lei
  • 3
    Reguli, dar nu pentru toți. La Orhei școlile vor activa cu prezența fizică. Se permit nunțile și cumetriile
  • 4
    Un parc fotovoltaic va fi construit la Sîngerei. Circa 900 de gospodării vor consuma energie electrică regenerabilă
Canalul nostru de pe YouTube
Autentificare
Ai uitat parola?
Salvează articolul

Pentru a activa această opțiune, e nevoie să fii logat pe AGORA.

Articolele salvate pentru mai târziu, le vei putea găsi în profilul tău.

Urmărește subiectul

Pentru a activa această opțiune, e nevoie să fii logat pe AGORA.

Subiectele urmărite le vei putea găsi în profilul tău.