Главная / Новости, 201704 / «Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов

«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов

Будь в СЕТИ! Каталог социальных сетей :: Будь в СЕТИ! - Добавить в избранное KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Медиа (игры, развлечения)] | [Знакомства] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | * Статусы

Эксперты «Лаборатории Касперского» завершили расследование ограбления банкомата и вышли на след хорошо подготовленной кибергруппировки, за которой могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak.

В процессе расследования сотрудниками банка был обнаружен пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. 

На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь.

Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.      

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – сказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». 

Защитные решения «Лаборатории Касперского» успешно распознают и блокируют атаки ATMitch. 



Мировые продажи Windows рухнули

Выручка Microsoft от продаж лицензий на операционную систему Windows производителям персональных компьютеров снизилась приблизительно на 23% в III квартале 2014-2015 финансового года, окончившегося 31 марта 2015 г. При этом выручка от продаж лицензий...

Подразделение безопасности Белого дома выявило следы хакерской атаки, проведенной в октябре 2014 года.

Как показало расследование, данные с мобильного телефона Барака Обамы не были скомпрометированы. Однако неизвестные хакеры могли получить доступ к архивным копиям, содержащим секретную информацию. Вывод в пользу принадлежности хакеров к русскому сег...

Disney снабжает смартфоны ультразвуковыми ручками управления

Чехол-ободок по тонкой трубке передает ультразвуковой сигнал, непрерывно генерируемый динамиком, на микрофон аппарата. Изменения в звуке, вызванные касаниями ободка, распознаются как управляющие сигналы: чехол представляет собой пассивное аналоговое...

США приняли стратегию наступательной кибервойны

Власти США будут совершать кибератаки на военные вычислительные сети и военную инфраструктуру своих противников в регионах, где США имеют собственные интересы. Решение о применении кибератак будут принимать президент США и министр обороны. Например, ...

В России могут начать взимать налоги с зарубежных ИТ-компаний.

Николай Никифоров, руководитель Минкомсвязи РФ, думает, что пора уже рассмотреть вопрос налогообложения зарубежных ИТ-компаний по местонахождению пользователей их услуг. В случае экстерриториального оказания электронных услуг фактор размещения конеч...

Комментарии

Нравится
Счетчики
хостинг от .masterhost Яндекс.Метрика

Главная | Новости | КАТАЛОГ | Контакты