«Лаборатория Касперского» опубликовала в своем блоге Securelist.ru отчет о расследовании киберкриминальной атаки, направленной на банкоматы восточноевропейских банков. Экспертам Центра глобальных исследований и анализа (Global Research and Analysis Team, GReAT) удалось выявить троянца, позволяющего злоумышленникам опустошать кассеты банкомата путем прямых манипуляций с диспенсером банкнот.

По данным исследователей, вредоносное ПО было выявлено более чем на 50 банкоматах различных банков Восточной Европы. Сайт VirusTotal зафиксировал еще несколько обращений с этим троянцем из разных стран, включая США, Индию и Китай. Новый зловред, получивший обозначение Backdoor.MSIL.Tyupkin, заражает банкоматы производства компании NCR, работающие под управлением 32-битной Microsoft Windows.

Вредоносная программа пытается избежать обнаружения и тем самым увеличить продолжительность своей работы на банкомате, принимая команды оператора строго ночью по воскресеньям и понедельникам. Команды, представляющие собой цифровые последовательности, вводятся путем набора на пинпаде банкомата. Tyupkin понимает следующие команды:

  • вход на главную страницу троянца;
  • удаление троянца с аппарата;
  • продление периода активности;
  • выход из главной страницы троянца.

Для извлечения денег знать команды недостаточно — после входа на главную страницу троянец запрашивает одноразовый сессионный ключ. Ввод некорректного ключа приводит к блокировке сетевого интерфейса банкомата, видимо, чтобы служба безопасности не могла удаленно проинспектировать аппарат. Если оператор вводит правильный ключ, он может выбрать кассету, из которой троянец выдаст ему 40 купюр.

Tyupkin_3

Заражение машины производится через оптический привод. Наличие на банкоматах установленного защитного решения McAfee Solidcore от Tyupkin не спасает, так как после установки троянец его успешно отключает.

«В последние годы мы наблюдаем увеличение количества атак на банкоматы с использованием скиммеров и вредоносного программного обеспечения, — говорит Висенте Диаз, ведущий антивирусный эксперт «Лаборатории Касперского». — Сейчас же мы видим естественную эволюцию этой угрозы, киберпреступники поднялись по цепочке, атакуя финансовые институты напрямую. Это делается как заражением банкоматов, так и проведением атак в APT-стиле против банков. Зловред Tyupkin является примером использования злоумышленниками уязвимостей в инфраструктуре».

«Мы настоятельно рекомендуем банкам пересмотреть физическую безопасность своих банкоматов и сетевой инфраструктуры и подумать об инвестициях в качественные защитные решения», — добавил Диаз.

Это не первый обнаруженный банкоматный троянец, умеющий управлять диспенсером банкнот. В частности, ранее подобная функциональность была выявлена у зловреда Ploutus, с тем отличием, что команду на выдачу денег тот получает по SMS, посредством мобильного телефона, подключенного к USB-порту банкомата. Это демаскирует заражение и снижает среднюю продолжительность жизни троянца в банкомате.

Санжай Вирмани, директор центра электронных преступлений Интерпола, сказал, что «злоумышленники постоянно находят новые пути для улучшения своих методов совершения преступлений и нужно, чтобы мы постоянно информировали правоохранительные службы стран, состоящих в Интерполе, касательно текущих тенденций и modus operandi».

Эксперты «Лаборатории Касперского» составили ряд рекомендаций банкам по отражению новой атаки:

  • Пересмотреть физическую безопасность своих банкоматов и сетевой инфраструктуры и подумать об инвестициях в качественные защитные решения.
  • Заменить все замки и мастер-ключи от верхней части банкоматов и разобраться в настройках систем по умолчанию.
  • Установить сигнализацию и удостовериться, что она хорошо работает. Киберпреступники, стоящие за Tyupkin, заражают только банкоматы без установленной сигнализации.
  • Сменить пароли BIOS, установленные по умолчанию.
  • Удостовериться в том, что машины имеют обновленную антивирусную защиту.
  • Чтобы узнать о том, как проверить, что ваши банкоматы не заражены, свяжитесь с «Лабораторией Касперского» по адресу intelreports@kaspersky.com. Для сканирования системы банкомата и удаления зловреда можно использовать бесплатный Kaspersky Virus Removal Tool.

Диаз говорит: «Злоумышленники научились заражать своим троянцем аппараты лишь одного производителя. Как только им удалось изобрести метод заражения банкомата определенной модели, они могут испробовать то же самое и с другими банкоматами данной модели. Атака будет успешно проходить до тех пор, пока банки не внедрят дополнительные защитные механизмы».

Категории: Вредоносные программы, Главное