Bancomatele pot fi ținta unor jafuri care nu lasă urme
Kaspersky Lab atrage atenția într-un comunicat că bancomatele pot fi jefuite în câteva secunde, fără a lasă urme, prin intermediul atacurilor ‘fileless’.
Angajaţii unei bănci s-au trezit, peste noapte cu ATM-ul golit. Mai mult nu exista nicio operaţiune financiară fizică asupra bancomatului care să ateste retragerea de numerar şi nici nu s-a depistat vreun program malware care să ateste furtul, scrie evz.ro.
A fost nevoie de experți în fraude cibernetice pentru a elucida misterul. Denumite atacuri fileless, ele sunt special concepute împotriva băncilor şi folosesc breşe în securitatea IT a băncilor, infectându-le reţelele. Mai grav este că până în momentul de faţă nu se cunosc autorii acestui gen de furt.
După ce experții Kaspersky Lab au analizat acest caz misterios, ei au reușit să înțeleagă instrumentele infractorilor cibernetici folosite în jaf și să reproducă ei înșiși atacul, descoperind o breșă de securitate în cadrul băncii, scrie ziare.com.
Recent, Kaspersky Lab a publicat rezultatele investigației asupra misterioaselor atacuri fără niciun fișier (fileless) împotriva băncilor: infractorii au folosit in-memory malware ca sa infecteze rețelele băncilor”, se arată în documentul companiei multinaționale, cu sediul la Moscova.
Investigația a început după ce specialiștii băncii au recuperat și distribuit către Kaspersky Lab două fișiere conținând înregistrări malware de pe hard drive-ul ATM-urilor. Au fost suficiente pentru ca experții să își dea seama cum s-a procedat.
Acestea au fost singurele fișiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au șters. Dar chiar și această cantitate infimă s-a dovedit suficientă pentru o investigație de succes. Printre fișierele-jurnal, experții în securitate cibernetică au reușit să identifice fragmente de informații în plain text care i-au ajutat să creeze o regulă Yara și să găsească o mostră. Regulile YARA — simplificat, șiruri de caractere de căutare — îi ajută pe analiști să găsească, să grupeze, să clasifice mostre de malware similare și să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau rețele ce prezintă similitudini. După o zi de așteptare, experții au găsit o mostră de malware: ‘tv.dll’ sau ‘ATMitch‘, cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: o dată în Kazahstan și o dată în Rusia, menționează sursa citată de Agerpres.
Programul malware este instalat de la distanță și pus în executare pe un bancomat al băncii vizate, care este administrat de la distanță.
Potrivit acestora, încă nu se știe cine este în spatele atacurilor. “tv.dll” conține elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN și Carbanak.