Editura Evenimentul si Capital

Jaf misterios. Atacurile fileless care golesc ATM-urile fără a lasa nicio urmă

Autor: | | 0 Comentarii | 1372 Vizualizari

Nu mică le-a fost mirarea angajaţilor unei bănci când s-au trezit, peste noapte cu ATM-ul golit. Mai mult nu exista nicio operaţiune financiară fizică asupra bancomatului care să ateste retragerea de numerar şi nici nu s-a depistat vreun program malware care să ateste furtul.

A fost nevoie de experti în fraude cibernetice pentru a elucida misterul. Denumite atacuri fileless ele sunt special concepute împotriva băncilor şi folosesc  breşe în securitatea IT a băncilor, infectându-le reţelele. Mai grav este că până în momentul de faţă nu se cunosc autorii acestui gen de furt.

“După ce experţii noştri au analizat acest caz misterios, ei au reuşit să înţeleagă instrumentele infractorilor cibernetici folosite în jaf şi să reproducă ei înşiăi atacul”, ne spun reprezentanţii Kaspersky Lab.. În februarie 2017, ei au publicat rezultatele investigaţiei asupra misterioaselor atacuri fără niciun fişier (fileless) împotriva băncilor şi au descoperit că infractorii au folosit in-memory malware ca să infecteze reţelele băncilor.

Investigaţia a început după ce specialiştii băncii au recuperat şi distribuit către Kaspersky Lab două fişiere conţinând înregistrări malware de pe hard drive-ul ATM-urilor (kl.txt şi logfile.txt).

“Acestea au fost singurele fişiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au şters. Dar chiar şi această cantitate infimă s-a dovedit suficientă pentru o investigaţie de succes. Printre fişierele-jurnal, experţii în securitate cibernetică au reuşit să identifice fragmente de informaţii în plain text care i-au ajutat să creeze o regulă Yara şi să găsească o mostră. Regulile YARA - simplificat, şiruri de caractere de căutare - îi ajută pe analişti să găsească, să grupeze, să clasifice mostre de malware similare şi să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau reţele ce prezintă similitudini. După o zi de aşteptare, experţii au găsit o mostră de malware: 'tv.dll' sau 'ATMitch', cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: o dată în Kazahstan şi o dată în Rusia”, menţionează sursa citată.

În general, infractorii încep prin a afla informaţii despre suma de bani pe care un bancomat o are. După aceasta, un infractor poate să trimita o comandă pentru a scoate orice numar de bancnote, de la orice bancomat. Dupa ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia şi să plece. Un jaf de acest gen la un ATM dureaza doar câteva secunde. O data ce un ATM este jefuit, malware-ul ii sterge urmele. 

Programul malware este instalat de la distanţă şi pus în executare pe un bancomat al băncii vizate, care este administrat tot de la distanţă.

“După ce este instalat şi conectat la ATM, malware-ul 'ATMitch' comunică cu bancomatul ca şi cum ar fi un program legitim. Acest lucru face posibil ca atacatorii să pună în aplicare o listă de comenzi, cum ar fi să colecteze informaţii despre numărul bancnotelor din ATM-uri. Mai mult, le permite infractorilor să retragă bani la orice oră, doar prin atingerea unui buton. În general, infractorii încep prin a afla informaţii despre suma de bani pe care un aparat o are. După aceasta, un infractor poate să trimită o comandă pentru a scoate orice număr de bancnote, de la orice bancomat. După ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia şi să plece. Un jaf de acest gen la un ATM durează doar câteva secunde. O dată ce un ATM este jefuit, malware-ul îi şterge urmele”, informează specialiştii în securitate ai companiei.

Potrivit acestora, încă nu se ştie cine este în spatele atacurilor. "tv.dll" conţine elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN şi Carbanak.

“S-ar putea ca atacatorii să fie activi încă, dar nu vă îngrijoraţi! Combaterea acestor tipuri de atacuri necesită anumite cunoştinţe din partea specialiştilor în securitate care protejează organizaţia vizată. O breşă reuşită şi extragerea informaţiilor dintr-o reţea pot să fie efectuate doar cu instrumente comune şi legitime. După atac, infractorii pot să şteargă toate informaţiile care ar conduce la detectarea lor şi să nu lase nicio urmă. Pentru a răspunde acestor probleme, analiza memoriei devine o parte critică din analiza malware-ului şi a funcţiilor sale. Şi, aşa cum dovedeşte cazul nostru, un răspuns eficient la incident poate să contribuie chiar şi la rezolvarea unei infracţiuni cibernetice aparent perfecte”, a declarat Sergey Golovanov, principal security researcher la Kaspersky Lab.




Alte articole din categoria: Economie

evz.ro
libertatea.ro
rtv.net
wowbiz.ro
b1.ro
cancan.ro
infoactual.ro
unica.ro
fanatik.ro
dcnews.ro

LASA UN COMENTARIU

Caractere ramase: 1000

CITEŞTE Şi
FACEBOOK
evz.ro
Tema zilei
06:38 Băsescu l-a „UMILIT” pe Gelu Vișan în direct la TV! Replica pe care nu o va uita NIMENI. Vișan califică gestul lui Băsescu: M-a surprins și m-a întristat în același timp! 01:16 Băsescu, STAND-UP CU NOUL PREMIER: „Dacă vedeți în unele poze fața lui Tudose..." 01:14 Olguța A RATAT ŞANSA CARIEREI. Toți membrii PSD vorbesc despre asta 01:11 Dan Andronic, IPOTEZĂ-ȘOC în cazul lui Tudose. Strategia lui Iohannis 00:50 Băsescu TUNĂ și FULGERĂ după numirea lui Tudose premier: „Iohannis a făcut CEL MAI URÂT lucru! TRĂDARE” 23:51 Tudose, ATACAT fără MILĂ de presa internațională: „Dragnea pierde din popularitate chiar dacă...” 23:36 Lista echipei lui Tudose: Numele de miniștri vehiculate în PSD - surse 22:39 Cine este Mihai Tudose, premierul PSD: Profesor la SRI, acuzat de plagiat, mic maestru în șah - biografie 22:37 ULTIMA BOMBĂ ÎN PSD! S-a vorbit despre o MARE TRĂDARE 22:36 Inedit! Reacția SRI despre premierul PSD Mihai Tudose 22:24 EXCLUSIV EVZ - Tudose către liderii PSD: „Nu vreau să fiu vedetă TV” 22:18 BOMBĂ ÎN PSD! Tudose A FOST DENUNŢAT LA DNA. Planul lui Dragnea SE POATE NĂRUI. Rămâne de văzut CE REACŢIE VA AVEA IOHANNIS 22:00 Tudose şi SECRETELE SOŢIEI SALE. Sunt în joc MILIOANE DE EURO. Detalii explozive 20:03 EXCLUSIV EVZ - Directorul de cabinet al lui Mihai Tudose a lucrat 13 ani pe „analiză-sinteză” în sistemul de siguranță națională, iar soția lui lucrează la UM 0472 și predă la SRI / DOCUMENTE 19:22 Iohannis: „Îl desemnez pe domnul Tudose ca viitor prim-ministru” - LIVE TEXT 18:22 MIHAI TUDOSE era prieten apropiat cu „Anaconda”, generalul SRI Elena Istode. TUDOSE a fost ACUZAT de PONTA că este OFIȚER ACOPERIT! 18:05 Udrea ÎL CRITICĂ DUR Dragnea: „Praf și pulbere. A aruncat PSD ÎN HAOS” 15:55 Propunere SURPRIZĂ a PMP pentru funcția de premier 15:06 CONSULTĂRI la COTROCENI. Băsescu: „Desemnarea PSD este una ratată, menită să-l atragă pe Iohannis într-o capcană. PMP l-a propus premier pe Sigfried Mureșan” | LIVE TEXT 10:03 CULISELE CEx PSD. Drumul NOMINALIZĂRII lui Mihai Tudose spre Palatul Cotroceni

Articole salvate