МАДРИД. В Латинской Америке кражи из банкоматов стали настолько распространенными, что преступники все чаще обращаются к своим кибер-коллегам в поисках более изысканных способов опустошения терминалов, чем элементарный подрыв корпуса.

В таких странах, как Бразилия, Мексика, Колумбия, Перу и других, довольно часто мелькают репортажи о взорванных и раскуроченных банкоматах. В минувший четверг, 5 октября, на Virus Bulletin эксперты «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) и Тьяго Маркес (Thiago Marques) продемонстрировали несколько видеозаписей с камер наблюдения, на которых преступники ломают терминалы и подрывают их, иногда оставляя от них лишь обугленные обломки.
Но ситуация меняется.

Пробежавшись по теневым форумам, вы непременно натолкнетесь на сообщения латиноамериканских преступников с просьбами о помощи. На русских и восточноевропейских форумах можно найти посты на португальском и испанском языках, в которых преступники ищут специализированные ATM-зловреды и даже руководства к банкоматам, чтобы лучше разобраться в принципах их работы.

«Восточноевропейские хакеры являются лидерами по написанию банкоматных зловредов, почетное второе место принадлежит латиноамериканским хакерам», — заявил Ассолини.

Преступники готовы вкладывать деньги в написание ATM-зловредов с нуля и даже заниматься этим самостоятельно. Иногда злоумышленники удаленно атакуют банковские сети, но зачастую им требуется физический доступ к терминалу. Другими словами, пояснили Ассолини и Маркес, чтобы получить доступ ко внутренним системам, преступник должен загрузить зловред с USB-накопителя, CD-диска (на старых банкоматах) или подключить USB-клавиатуру.

Заполучив доступ, преступник указывает, сколько он хочет снять наличности, забирает деньги и быстро скрывается.

«Сразу же после заражения отдельного терминала или сети им нужно забрать наличность», — сообщил Ассолини, отметив, что злоумышленники должны быстро скрыться с места преступления, чтобы избежать обнаружения.

В своей статье, опубликованной параллельно с докладом, Ассолини и Маркес рассказали о наличии долгосрочных деловых отношений между восточноевропейскими и латиноамериканскими киберпреступниками, в основном в сфере клонирования кредитных карточек.

Что касается ATM-зловредов, то они появились в 2008 году, и первым их представителем стал Skimer, позволявший красть деньги или данные с кредитных карт, побывавших в банкомате. Кроме того, в 2014 году специалисты «Лаборатории Касперского» доложили об ATM-зловреде Tyupkin, а год спустя они опубликовали доказательства сотрудничества между латиноамериканскими преступниками и восточноевропейскими командами взломщиков, ответственных за банковские троянцы Zeus и SpyEye.

«Факты говорят в пользу того, что латиноамериканские киберпреступники переходят на новые методы, заручившись поддержкой восточноевропейских группировок, — написали они в журнале Virus Bulletin. — Мы полагаем, что это только верхушка айсберга, так как подобное партнерство с годами становится все более тесным по мере развития преступности и поиска новых способов покушения на собственность предприятий и обычных людей».

В докладе, представленном на Virus Bulletin, рассмотрены четыре семейства вредоносных программ, популярных среди взломщиков банкоматов: Ploutus, Prilex, GreenDispenser и Ice5.

По словам Маркеса, злоумышленники применяют Ploutus с 2013 года и преимущественно в Мексике. Суммарный ущерб от него оценивается в более чем 64 млн долларов США. Для атаки нужно физически закинуть Ploutus через USB-накопитель или CD-диск, чтобы украсть идентификатор банкомата, а затем найти и активировать устройство перед выдачей наличных. Новая разновидность этого зловреда совместима с популярной платформой терминалов Kalignite, используемой различными поставщиками, в том числе Diebold.

Как только злоумышленник подключит клавиатуру к банкомату, он может сгенерировать с помощью зловреда код активации и получить наличные. Маркес отметил, что атакующие гордятся свой работой и оставляют в коде такие комментарии, как «Ploutus: сделано в Латинской Америке».

Зловреды Ice5 и Prilex редко встречаются за пределами Бразилии, откуда они родом. Ice5 заточен под банкоматы производства NCR, в то время как Prilex — более сложный зловред, способный взаимодействовать с библиотеками отдельных поставщиков, что говорит о глубоком понимании принципов работы терминалов и соответствующих сетей.

«После запуска зловред может выдавать наличные посредством использования специального окна, активируемого особой комбинацией клавиш, которую преступники сообщают своим денежным мулам», — пишут исследователи, добавляя, что зловред также включает компонент для кражи данных с магнитных лент карточек, которые злоумышленники собирают отдельной ходкой.

Категории: Вредоносные программы, Хакеры