Cum pot fi jefuite bancomatele în câteva secunde, fără a lăsa urme

Bancomatele pot fi jefuite în câteva secunde, fără a lasă urme, prin intermediul atacurilor 'fileless', iar în spatele atacurilor încă nu se știe cine se află, atrage atenția joi, într-un comunicat, Kaspersky Lab.
Alina Costache
06 apr. 2017, 09:26
Cum pot fi jefuite bancomatele în câteva secunde, fără a lăsa urme

„Într-o zi, angajații unei bănci au găsit un ATM gol: nu mai exista niciun ban, nici nu se vedeau urmele vreunei interacțiuni fizice cu dispozitivul sau ale vreunui program malware. După ce experții Kaspersky Lab au analizat acest caz misterios, ei au reușit să înțeleagă instrumentele infractorilor cibernetici folosite în jaf și să reproducă ei înșiși atacul, descoperind o breșă de securitate în cadrul băncii. În februarie 2017, Kaspersky Lab a publicat rezultatele investigației asupra misterioaselor atacuri fără niciun fișier (fileless) împotriva băncilor: infractorii au folosit in-memory malware ca să infecteze rețelele băncilor”, se arată în document.

Investigația a început după ce specialiștii băncii au recuperat și distribuit către Kaspersky Lab două fișiere conținând înregistrări malware de pe hard drive-ul ATM-urilor (kl.txt și logfile.txt).

‘Acestea au fost singurele fișiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au șters. Dar chiar și această cantitate infimă s-a dovedit suficientă pentru o investigație de succes. Printre fișierele-jurnal, experții în securitate cibernetică au reușit să identifice fragmente de informații în plain text care i-au ajutat să creeze o regulă Yara și să găsească o mostră. Regulile YARA — simplificat, șiruri de caractere de căutare — îi ajută pe analiști să găsească, să grupeze, să clasifice mostre de malware similare și să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau rețele ce prezintă similitudini. După o zi de așteptare, experții au găsit o mostră de malware: ‘tv.dll’ sau ‘ATMitch’, cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: o dată în Kazahstan și o dată în Rusia’, menționează sursa citată.

Programul malware este instalat de la distanță și pus în executare pe un bancomat al băncii vizate, care este administrat remote.

Alte articole
TAXĂ pentru cei care au cont la bancă. Decizie pentru cei care retrag numerar de la ATM sau ghișee. Unde se aplică deja
TAXĂ pentru cei care au cont la bancă. Decizie pentru cei care retrag numerar de la ATM sau ghișee. Unde se aplică deja
Primul bancomat de criptomonede instalat într-un oficiu poștal din România a devenit atracție turistică
Primul bancomat de criptomonede instalat într-un oficiu poștal din România a devenit atracție turistică

‘După ce este instalat și conectat la ATM, malware-ul ‘ATMitch’ comunică cu bancomatul ca și cum ar fi un program legitim. Acest lucru face posibil ca atacatorii să pună în aplicare o listă de comenzi, cum ar fi să colecteze informații despre numărul bancnotelor din ATM-uri. Mai mult, le permite infractorilor să retragă bani la orice oră, doar prin atingerea unui buton. În general, infractorii încep prin a afla informații despre suma de bani pe care un aparat o are. După aceasta, un infractor poate să trimită o comandă pentru a scoate orice număr de bancnote, de la orice bancomat. După ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia și să plece. Un jaf de acest gen la un ATM durează doar câteva secunde. O dată ce un ATM este jefuit, malware-ul îi șterge urmele’, informează specialiștii în securitate ai companiei.

Potrivit acestora, încă nu se știe cine este în spatele atacurilor. „tv.dll” conține elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN și Carbanak.

‘S-ar putea ca atacatorii să fie activi încă, dar nu vă îngrijorați! Combaterea acestor tipuri de atacuri necesită anumite cunoștințe din partea specialiștilor în securitate care protejează organizația vizată. O breșă reușită și extragerea informațiilor dintr-o rețea pot să fie efectuate doar cu instrumente comune și legitime. După atac, infractorii pot să șteargă toate informațiile care ar conduce la detectarea lor și să nu lase nicio urmă. Pentru a răspunde acestor probleme, analiza memoriei devine o parte critică din analiza malware-ului și a funcțiilor sale. Și, așa cum dovedește cazul nostru, un răspuns eficient la incident poate să contribuie chiar și la rezolvarea unei infracțiuni cibernetice aparent perfecte’, a declarat Sergey Golovanov, principal security researcher la Kaspersky Lab.

Citeşte şi Fii foarte atent la aceste bancomate modificate! Te pot lăsa fără bani într-o clipită. Cum arată şi cum să te fereşti de ele FOTO

 

Citeste și...
Cine este Cristina Petrovici, noua iubită a lui Victor Ponta. Cum s-au cunoscut și ce pasiune comună îi leagă
Zbor întârziat sau anulat? Ia-ți banii înapoi cu Despagubire.ro. Până la 600 de euro.
Fotbalistul român rezident în Doha și-a vândut casa înaintea bombardamentelor Iranului din Qatar
DailyBusiness
Taxa pe BOALĂ revine! Guvernul îi obligă pe români să plătească CASS pe anumite concedii medicale
Spynews
Vedetele, hărțuite de fani obsedați. Mara Bănică și Cornel Păsat au povestit experiențele care i-au marcat: „Mi-a urmărit copilul”, „A apărut goală în fața mea”
Bzi.ro
Andreea Esca, apariție incendiară în costum de baie, la 52 de ani! „Ne place la mare, la soare!” – GALERIE FOTO
Fanatik.ro
Apă plată cu bacterii! ANPC a descoperit nereguli şi a retras de pe piaţă loturi de apă îmbuteliată
Capital.ro
Bucurie imensă pentru Elena Udrea. Comisia de liberare condiționată de la Penitenciarul Târgșor a luat decizia
Playtech.ro
Obligatoriu pentru toți românii care vor să-și scoată animalul de companie din țară. Ce trebuie să faci ca să nu ai probleme
DailyBusiness
Evaluare Națională. Luni, 23 iunie, peste 159.000 de elevi de clasa a VIII-a susțin proba scrisă la limba și literatura română
Adevarul
Cât de mare e pericolul unor atentate teroriste în România după ce a izbucnit războiul SUA - Iran. Expert: „Riscul e acum peste tot”
wowbiz.ro
Ți se face pielea de găină! Mama Teodorei Marcu, distrusă de durere la aproape 3 săptămâni de când și-a pierdut fiica. Ipostaza sfâșietoare în care a fost surprinsă femeia
Spynews
Evaluare Națională 2025. Ce subiecte au primit elevii la Limba și Literatura Română 
Spynews
Nu e doar frumoasă, e și gospodină! Rețeta Ramonei de la Neatza de salată de vinete / VIDEO 
Evz.ro
Bacterii periculoase în apa îmbuteliată! Descoperire șocantă la o firmă
Ego.ro
Ion Iliescu NU a purtat niciodată verighetă! Secretele căsniciei cu Nina Iliescu FOTO
Prosport.ro
Gimnasta cu aur pentru România la Jocurile Olimpice, luptă dură cu depresia: „Am ajuns aproape în comă”
kanald.ro
Cu ce suma vor scădea pensiile românilor după aplicarea CASS. Peste 2 milioane de români sunt afectați
Cancan.ro
BREAKING NEWS! Anunțul făcut de Donald Trump. E știrea momentului în lumea întreagă
Playsport.ro
Cum îți schimbi furnizorul de energie înainte de 1 iulie. Așa eviți o explozie a prețului la energie după eliminarea plafonării
Capital.ro
România a pierdut un mare nume. A fost o legendă a țării. Rămâne un exemplu pentru toate generațiile
StirileBZI
Câți bani pot să scoată românii de la bancomat în 2025. Băncile au impus noi limite!
Prosport.ro
FOTO. Cum arată Diana Munteanu la 46 de ani. Imaginile cu fosta soție a lui Claudiu Niculescu au devenit virale
stirilekanald.ro
VIDEO Donald Trump anunță un armistițiu între Israel și Iran. Garantează „încetarea completă şi totală a focului”: „Încheierea oficială a războiului de 12 zile”
Cinci zodii care vor avea noroc triplu pana la sfarsitul verii. Vin luni magice si abundenta financiara
MediaFlux
Factura la curent crește de la 1 iulie! Noile prețuri anunțate de ministrul Energiei
Shtiu.ro
CE ASCUNDE ultima CIFRA a CNP-ului? Dacă ai 3 sau 8 însemană că...
Puterea.ro
Revoluție în primării: Viceprimarii din comunele mici ar putea dispărea! Cseke Attila anunță restructurări și tăieri de sporuri