"Лаборатория Касперского" расследовала дело о мистическом исчезновении денег из банкоматов

Не так давно сотрудники банка обнаружили пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. Для расследования этого, казалось, безнадежного дела банк обратился за помощью к "Лаборатории Касперского". Эксперты компании смогли не только распутать это ограбление, но также вышли на след новой хорошо подготовленной кибергруппировки, за которой, вполне возможно, могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak.

На момент начала расследования специалисты "Лаборатории Касперского" обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA - поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь.

Уже на следующий день после создания правил YARA эксперты "Лаборатории Касперского" нашли то, что искали, - образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считанные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.

"Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch", - рассказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского".

О предшествующей ограблениям стадии вредоносной операции ATMitch "Лаборатория Касперского" рассказывала около двух месяцев назад. Подробности расследования можно узнать из отчета компании.

Туристский информационный центр решил выяснить, что жители Самарской области думают о туристической привлекательности нашего региона. Приглашаем к участию в опросе.

Что поможет привлекать гораздо больше туристов в Самарскую область?

архив опросов

Последние комментарии

Олеся Лаптева 23 апреля 2017 05:00 Как распознать финансовую пирамиду: советы от Самарского отделения Центробанка

О, Скай Вэй как нельзя лучше иллюстрирует данную статью. Чем безумнее его обещания и идеи, тем с большим энтузиазмом несут лохи-"инвесторы" свои деньги в этот "проект". Когда-нибудь про Скайвэй напишут книжку "Как сделать так, чтоб тебя кормили 100 тыс. людей, а тебе за это ничего не было"))

Дмитрий Игнатьев 08 сентября 2016 06:35 Перед банкротством Эл банк выдал "подставным" компаниям кредитов на 2,2 млрд рублей

Что меня поражает в нашем государстве... Государственная машина самым жёстким образом борется с обычными гражданами, воруя у них деньги с помощью эвакуаторов. Естественно "в интересах самих граждан". За н/с даже в тюрьму сажают, хотя в 96% случаев ничего и не нарушено больше... Но если находится, кто реально украл миллиард и более - он становится, видимо, "уважаемым" для властей человеком и его в лучшем случае "пожурят" (как в указанном случае просто признают банкротом без всяких "посадок")

Фото на сайте

Все фотогалереи

Новости раздела

Все новости
Архив
Пн Вт Ср Чт Пт Сб Вс
27 28 29 30 31 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30