Преступники используют вредоносную программу Тюпкин, чтобы опустошить банкоматы

Исследователи «Лаборатории Касперского» заявили, что на этой неделе киберпреступники заразили банкоматы в России, Европе, Соединенных Штатах, Индии и Китае вредоносным ПО для удаления наличных денег, хранящихся в автоматах.

Злоумышленники разблокируют корпус банкомата, возможно, с помощью главного ключа по умолчанию, и используют загрузочный компакт-диск для заражения машины вредоносным ПО Tyupkin, сообщают исследователи «Лаборатории Касперского» во вторник в сообщении SecureList. Вредоносная программа предназначена для приема команд в середине ночи по воскресеньям и понедельникам и для тихой остальной части недели, что затрудняет ее обнаружение.

Путь вредоносного ПО

После того, как вредоносная программа загружена в банкомат, злоумышленники могут увидеть, сколько денег все еще находится в кассетах на машине. Злоумышленник должен быть физически перед банкоматом, чтобы ввести специально сгенерированный шестизначный PIN-код, сгенерированный вредоносной программой, чтобы снять деньги. «Лаборатория Касперского» заявляет, что они могут принимать до 40 счетов за раз без необходимости смахивать карту банкомата или вводить данные учетной записи. Примерно 50 машин были заражены таким образом, согласно отчету, который был частью совместного расследования с Интерполом.

«Для каждой сессии заново генерируется уникальный шестизначный кодовый ключ, основанный на случайных числах. Это гарантирует, что никто за пределами банды не сможет случайно извлечь выгоду из мошенничества. Затем злонамеренный оператор получает по телефону инструкции от другого члена банды, который знает алгоритм и способен генерировать сеансовый ключ на основе указанного числа. Это гарантирует, что мулы, собирающие деньги, не будут пытаться использовать их самостоятельно », - говорится в сообщении в блоге.

Интересно, что если введен неправильный ключ, вредоносная программа отключает всю сеть. Исследователи Касперского не были уверены, почему сеть была отключена. Это может быть способ задержать удаленные следователи от анализа вредоносных программ.

«Лаборатория Касперского» не определила производителя атакующей модели банкомата и просто сказала, что на машинах установлена ​​32-разрядная версия операционной системы Windows. Эксперты по безопасности предупреждают, что банкоматы подвержены атакам, поскольку многие из них работают под управлением Windows XP, а Microsoft больше не поддерживает старую операционную систему. Вредоносное ПО также отключило McAfee Solidcore, который обеспечивает аудит управления изменениями, контроль конфигурации, соответствие PCI и блокировку системы, установленную на компьютерах.

Банкоматы в опасности

За последние несколько лет мы наблюдали значительный рост атак на банкоматы с использованием скимминговых устройств и вредоносного программного обеспечения », - пишет« Лаборатория Касперского ». Скиммеры - это аппаратные устройства, которые преступники подключают к карт-ридерам на машинах для считывания информации с карт с магнитной полосы. Получив информацию о карте, они могут создавать клонированные карты и пустые банковские счета. Люди больше осведомлены о рисках скиммеров банкоматов и более осторожны, поэтому киберпреступникам пришлось изменить свою тактику.

Теперь мы наблюдаем естественную эволюцию этой угрозы, когда киберпреступники продвигаются по цепочке и нацеливаются непосредственно на финансовые учреждения », - сказал« Лаборатория Касперского ». Финансовым учреждениям необходимо улучшить физическую безопасность компьютеров, а также модернизировать банкоматы, чтобы они становились все более новыми и более безопасные операционные системы, говорится в сообщении компании.