«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов




«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов. Об этом сообщается в блоге компании.



«Однажды сотрудники банка обнаружили пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. Для расследования этого, казалось, безнадежного дела банк обратился за помощью к «Лаборатории Касперского». Эксперты компании смогли не только распутать это ограбление, но также вышли на след новой хорошо подготовленной кибергруппировки, за которой вполне возможно могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak.

На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь.

Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – рассказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Автор: Softodrom.ru
Дата: 08.04.2017


» Оставьте первым свой комментарий

Новости > Безопасность > «Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Минобороны РФ ищет специалистов по реверс-инжинирингу
Центр специальных разработок Министерства обороны РФ ищет инженеров по анализу исходного кода
Вопросы безопасности при использовании VPN
У пользователей возникают заблуждения, которые не отражают реального положения дел
Поддельный антивирус для Android распространяется при помощи рекламы в приложениях
Зафиксированы случаи распространения поддельного антивирусного приложения для ОС Android, осуществляемого при помощи рекламных сообщений
В Android обнаружена смишинговая уязвимость
Уязвимость касается всех версий Android, включая Jelly Bean, Ice Cream Sandwich, Froyo и Gingerbread
SMS-мошенники зарабатывают в России десятки миллионов рублей в день
В следующей версии браузера Яндекса будет реализована функция предупреждения пользователей о том, что сайт является мошенническим
Новинки раздела Безопасность
Вопросы безопасности при использовании VPN
У пользователей возникают заблуждения, которые не отражают реального положения дел
В московском метро объявили воздушную тревогу
В социальных сетях москвичи начали сообщать о том, что в метрополитене звучат оповещения о воздушной тревоге и предупреждения, что все эскалаторы работают только на спуск
Интернет-трафик десятков зарубежных компаний подвергся вмешательству в России
Большие массивы сетевого трафика были направлены через контролируемый российским правительством телекоммуникационный канал
Российский разработчик ПО «Стахановец» опроверг заявление СБУ о «шпионском» функционале
Заявление Службы безопасности Украины о наличии «шпионского» функционала у российского программного комплекса «Стахановец» и передаче данных ФСБ России не соответствует действительности
СБУ заявила об использовании российского шпионского ПО украинскими компаниями
Служба безопасности Украины заявила, что восемь украинских компаний использовали и продавали «запрещенное шпионское программное обеспечение российского производства»
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».