«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов






«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов. Об этом сообщается в блоге компании.



«Однажды сотрудники банка обнаружили пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. Для расследования этого, казалось, безнадежного дела банк обратился за помощью к «Лаборатории Касперского». Эксперты компании смогли не только распутать это ограбление, но также вышли на след новой хорошо подготовленной кибергруппировки, за которой вполне возможно могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak.

На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь.

Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – рассказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Автор: Softodrom.ru
Дата: 08.04.2017


» Оставьте первым свой комментарий


Новости > Безопасность > «Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
На пользователей торрентов совершено 15 миллионов атак за 1,5 года
Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах»
Как Путин развалил США и выиграл третью мировую войну с помощью кибероружия
Путин знал, что не сможет противостоять США в мире обычного оружия, поэтому он сделал ставку на абсолютно другой метод ведения войны — кибероружие
Хакер обнародовал ключ дешифрования Secure Enclave в iPhone
Secure Enclave обрабатывает данные отпечатка пальца Touch ID, «подписывает» покупки, подтвержденные датчиком, или разблокирует телефон, проверяя отпечаток
Около 9% российских банковских доменов используют неправильные настройки DNS
Проведенное аналитиками «Доктор Веб» исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций
Первым свидетелем по делу о кибератаке на США стал украинский хакер
Это первый случай появления свидетеля в деле о кибератаке на США
Новинки раздела Безопасность
На пользователей торрентов совершено 15 миллионов атак за 1,5 года
Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах»
Microsoft представила Coco Framework для повышения эффективности блокчейна
Существующий сейчас блокчейн-протокол требует сложных технологических разработок, чтобы обеспечить операционные потребности бизнеса и соответствовать нормам безопасности
Хакер обнародовал ключ дешифрования Secure Enclave в iPhone
Secure Enclave обрабатывает данные отпечатка пальца Touch ID, «подписывает» покупки, подтвержденные датчиком, или разблокирует телефон, проверяя отпечаток
ФСБ участвует в разработке международного стандарта блокчейна
В созданный Международной организацией по стандартизации (ISO) специальный комитет для разработки стандарта технологии блокчейн вошли несколько представителей от России
Как Путин развалил США и выиграл третью мировую войну с помощью кибероружия
Путин знал, что не сможет противостоять США в мире обычного оружия, поэтому он сделал ставку на абсолютно другой метод ведения войны — кибероружие
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».