«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов






«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов. Об этом сообщается в блоге компании.



«Однажды сотрудники банка обнаружили пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. Для расследования этого, казалось, безнадежного дела банк обратился за помощью к «Лаборатории Касперского». Эксперты компании смогли не только распутать это ограбление, но также вышли на след новой хорошо подготовленной кибергруппировки, за которой вполне возможно могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak.

На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь.

Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – рассказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
Автор: Softodrom.ru
Дата: 08.04.2017


» Оставьте первым свой комментарий


Новости > Безопасность > «Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов
Все рубрики Новостей:
Топ-сегодня раздела Безопасность
Как Касперский звук свиньи придумал — видео
«Лаборатория Касперского» приглашает поностальгировать и вспомнить, как 20 лет назад выглядели веб-сайты
«Лаборатория Касперского» об опасности умных устройств на Linux
Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства
Германия расширила сферу применения вредоносного ПО для слежки за пользователями мессенджеров
Власти страны получат право на онлайн-слежку через программное обеспечение на смартфонах или компьютере, используя для этого вредоносную программу
Приложения для обхода блокировок могут красть пароли от соцсетей
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько потенциально опасных приложений
В России с начала 2017 года заблокировали более 16 тысяч «групп смерти»
МВД РФ обеспокоено так называемыми группами смерти, только с начала этого года их заблокировано в России более 16 тысяч
Новинки раздела Безопасность
«Лаборатория Касперского» об опасности умных устройств на Linux
Специалисты «Лаборатории Касперского» провели эксперимент и настроили несколько ловушек («ханипотов»), которые имитировали различные умные устройства
Как Касперский звук свиньи придумал — видео
«Лаборатория Касперского» приглашает поностальгировать и вспомнить, как 20 лет назад выглядели веб-сайты
В России с начала 2017 года заблокировали более 16 тысяч «групп смерти»
МВД РФ обеспокоено так называемыми группами смерти, только с начала этого года их заблокировано в России более 16 тысяч
ФСБ: Telegram дает террористам возможность конспиративного общения и создания «спящих ячеек»
Анализ телефонной переписки задержанных террористов показал, что они координировали свои действия и получали инструкции по шифрованным каналам мессенджера Telegram
Германия расширила сферу применения вредоносного ПО для слежки за пользователями мессенджеров
Власти страны получат право на онлайн-слежку через программное обеспечение на смартфонах или компьютере, используя для этого вредоносную программу
Copyright © 1999-2017 Softodrom.ru
О перепечатках | RSS каналы | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».