«Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов

Эксперты «Лаборатории Касперского» завершили расследование ограбления банкомата и вышли на след хорошо подготовленной кибергруппировки, за которой могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak.

    • КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента
    • ГлавнаяНовостиНовостиНовости, 201704Новости, 201704 → «Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов
P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

В процессе расследования сотрудниками банка был обнаружен пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. 

На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь.

Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.      

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – сказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». 

Защитные решения «Лаборатории Касперского» успешно распознают и блокируют атаки ATMitch. 

В России произвели первую партию серверов «Яндекса»

«Яндекс» с партнерами выпустил первую партию серверов, изготовленных в России. Они основаны на базе разработанного в «Яндексе» сервера четвертого поколения. Такие серверы используют в дата-центрах для расширения облачной платформы Yandex.Cloud и в су...

Москва заняла второе место на международном конкурсе Global ICT Excellence Awards

Правительство Москвы заняло второе место среди государственных структур на международном конкурсе Global ICT Excellence Awards в номинации «Стартап-экосистема». Награду получают организации, реализовавшие наиболее успешные проекты поддержки стартапов...

Отряд «ЛизаАлерт» и билайн подводят итоги использования совместных технологий

Поисково-спасательный отряд «ЛизаАлерт» и билайн подвели итоги высокого поискового сезона 2021 года. ...

Роскомнадзор раскрыл компании, подпавшие под закон о «приземлении»

В реестр попали 13 компаний и принадлежащие им ресурсы, в том числе Google, Meta, Twitter и другие. Согласно закону о «приземлении» ИТ-гиганты должны открыть в России филиал или юрлицо и зарегистрироваться на сайте Роскомнадзора Alphabet ...

Как сэкономить время при покупке полиса для квартиры

Компания «АльфаСтрахование» при поддержке билайн запустила возможность автозаполнения клиентских данных с помощью «Мобильного ID» при покупке полиса для квартиры. Это вдвое сократило время оформления страховки. ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики
Каталог
Новости
Контакты
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{border-radius:5px 10px 0 0;border:1px solid #542437;padding:1px;font-size:75%;font-weight:900;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 201704Новости, 201704 → «Лаборатория Касперского» расследовала дело о мистическом исчезновении денег из банкоматов