Cyberprzestępcy opróżniają bankomaty

Przeczytaj także: Zaawansowane ataki hakerskie w Europie 2013

Jak to działa?

Osoba podchodzi do bankomatu, wkłada rozruchową płytę CD w celu zainstalowania szkodliwego oprogramowania, a po powtórnym uruchomieniu bankomat jest już pod władzą cyberprzestępcy. Jest noc, niedziela lub poniedziałek (to jedyny czas, w którym szkodliwe oprogramowanie przechwytuje polecenia). Atakujący wprowadza kombinację cyfr na klawiaturze, następnie dzwoni w celu uzyskania dalszych instrukcji od innego członka gangu – tego, który zna algorytm i potrafi wygenerować klucz sesji w oparciu o pokazany numer. Po wprowadzeniu klucza bankomat wyświetla informacje odnośnie środków dostępnych w poszczególnych kasetkach z pieniędzmi. Atakujący wybiera jedną kasetkę i otrzymuje z niej jednorazowo 40 banknotów.

Globalny Zespół ds. Badań i Analiz (GReAT) z Kaspersky Lab przeprowadził dochodzenie dotyczące omawianego ataku – szkodliwe oprogramowanie zidentyfikowane i nazwane przez Kaspersky Lab Backdoor.MSIL.Tyupkin zostało jak dotąd wykryte w bankomatach w Ameryce Łacińskiej, Europie i Azji.

Jak banki mogą zmniejszyć ryzyko

• Rozważyć zainwestowanie w wysokiej jakości rozwiązania bezpieczeństwa i dopilnować, aby bankomaty posiadały uaktualnioną ochronę antywirusową.
• Wymienić wszystkie blokady oraz klucze uniwersalne w górnej pokrywie bankomatów i zrezygnować z ustawień domyślnych producenta.
• Zainstalować alarm – cyberprzestępcy stojący za oprogramowaniem Tyupkin zainfekowali tylko bankomaty, na których nie zainstalowano takiego sprzętu.
• Zmienić domyślne hasło BIOS-u bankomatów.
• Aby uzyskać wskazówki odnośnie metod sprawdzenia, czy bankomaty są zainfekowane, można skontaktować się bezpośrednio z ekspertami z Kaspersky Lab pod adresem intelreports@kaspersky.com. Do przeprowadzenia pełnego skanowania systemu bankomatu i usunięcia backdoora można wykorzystać darmowe narzędzie Kaspersky Virus Removal Tool (do pobrania na stronie http://support.kaspersky.com/pl/viruses/avptool2011?level=2#downloads).