Władze likwidują gang przestępczy wykorzystujący złośliwe oprogramowanie do kradzieży gotówki z bankomatów

Organy ścigania z Rumunii i Republiki Mołdawii zlikwidowały gang przestępców, którzy ukradli 200 000 euro z bankomatów w EU. i Rosja po zainfekowaniu ich programem szkodliwego oprogramowania.

Program został po raz pierwszy udokumentowany przez naukowców z firmy Kaspersky Lab w październiku 2014 r. i jest znany jako Tyupkin. Może być zainstalowany w bankomatach za pomocą bootowalnej płyty CD i zmusza maszynę do wydawania gotówki podczas odbierania konkretnych poleceń wprowadzanych za pomocą PIN pad.

Władze Rumunii w tym tygodniu aresztowały osiem osób podejrzanych o bezpośredni udział w operacji. Podejrzani skoordynowani z osobami w Republice Mołdowy w celu zidentyfikowania potencjalnie podatnych bankomatów znajdujących się w słabo chronionych obszarach i nie zamkniętych w ścianach.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Celem ataków było przede wszystkim maszyny wyprodukowane przez amerykańskiego producenta bankomatów NCR, posiadające w środku jednostkę CD-ROM i którego przednie osłony można było łatwo otworzyć uniwersalnym kluczem. Jeśli obecny był czujnik antysabotażowy, atakujący wyłączył go za pomocą taśmy samoprzylepnej, podała rumuńska Dyrekcja ds. Badań Przestępstw Zorganizowanych i Terroryzmu (DIICOT).

Po zidentyfikowaniu potencjalnych celów, członkowie gangu wrócili podczas weekendów, zainstalowani złośliwe oprogramowanie z dysku CD i pobierało gotówkę z zainfekowanych maszyn w partiach około 1000 USD w lokalnej walucie. Po nieuczciwych wypłatach złośliwe oprogramowanie zostało poproszone o usunięcie samego siebie, pozostawiając bardzo niewiele śladów na komputerach.

Gang trafił do bankomatów w Rumunii, Republice Mołdowy, na Węgrzech, w Czechach, Hiszpanii i Rosji, według DIICOT.

Rumuńska policja i DIICOT współpracowały w dochodzeniu z organami ścigania z Republiki Mołdawii i Zjednoczonego Królestwa. Wspomagały je także Europol i Eurojust.

Naukowcy z Symantec i F-Secure przeanalizowali bardzo podobny program do wykrywania złośliwego oprogramowania dla bankomatów nazwał Padpin, to może być alias dla Tyupkina. W swoich raportach wskazali oni, że Padpin, podobnie jak Tyupkin, wchodzi w interakcję z konkretną biblioteką DLL systemu Windows znaną jako Extension for Financial Services (XFS), która jest obecna tylko w bankomatach.

Ponieważ Microsoft nie dostarcza żadnej publicznej dokumentacji dotyczącej jej funkcji , naukowcy z F-Secure spekulowali, że twórcom szkodliwego oprogramowania mógł pomóc podręcznik programisty z NCR, który wyciekł na chińskiej stronie ebook.

Tyupkin i Padpin nie są jedynymi programami do wykrywania złośliwego oprogramowania dla bankomatów znalezionymi przez naukowców. W październiku 2013 r. Analitycy bezpieczeństwa z firmy Symantec ostrzegli przed programem typu backdoor ATM o nazwie Ploutus, który był używany do kradzieży pieniędzy w Meksyku.

We wrześniu zeszłego roku firma ochroniarska FireEye znalazła kolejny program do wykrywania złośliwego oprogramowania dla bankomatów o nazwie Suceful, którego głównym celem jest zablokowanie karty ludzi w bankomatach, a następnie zwolnij ich do oszustów na polecenie. W tym samym miesiącu wykryto kolejny złośliwy program o nazwie GreenDispenser w bankomatach w Meksyku.

Technika ataku, w której złośliwe oprogramowanie wykorzystywane jest do wymuszenia bankomatów w celu wydawania pieniędzy, jest znana jako jackpot i jest to zjawisko, które badacze bezpieczeństwa po raz pierwszy zademonstrowali w 2010 roku. Karty stają się coraz trudniejsze do klonowania i nadużywania, liczba ataków, które bezpośrednio trafiają do bankomatów, może wzrosnąć.