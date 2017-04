Hackerii ruși, pare-se, au rețeta jafului perfect - îți golesc bancomatul de la distanță, în nici două secunde, cu un malware periculos care își șterge singurel toate urmele. Specialiștii de la Kaspersky Lab au reușit să reproducă atacul, însă nu au putut descoperi și autorii. Câteva reziduuri ale malware-ului conțin fragmente în limba rusă, dar asta-i tot. Soluții? Contra cost, bineînțeles. Altfel, bancherii trebuie „doar“ să se roage să nu fie luați în vizor de gruparea infracțională.

Bancomatele pot fi jefuite în câteva secunde, fără nicio urmă, prin intermediul atacurilor de tip „fileless“, în spatele cărora se află... nu se știe încă cine, avertizează specialiștii de la Kaspersky Lab - „Într-o zi, angajații unei bănci au găsit un ATM gol - nu mai exista niciun ban și nici nu se vedeau urmele vreunei interacțiuni fizice cu dispozitivul sau ale vreunui program malware. După ce am analizat acest caz misterios, am reușit să înțelegem ce s-a întâmplat, ba chiar am putut reproduce atacul, descoperind o breșă de securitate în cadrul băncii. Mai exact, infractorii au folosit in-memory malware ca să infecteze rețeaua băncii“. După jaf, în rețea au rămas doar două fișiere text (kl.txt și logfile.txt), malware-ul fiind șters de infractori - „Dar chiar și această cantitate infimă de informație s-a dovedit suficientă pentru finalizarea investigației. Printre fișierele-jurnal, am identificat fragmente de informații în „plain text“ și am creat o regulă Yara (șiruri de caractere de căutare, care îi ajută pe analiști să găsească, să grupeze și să clasifice mostre de malware similare și să creeze conexiuni între ele). Ne bazăm pe tipare de activitate suspecte în cadrul unor sisteme sau rețele similare. După o zi de așteptare, am găsit o mostră de malware - tv.dll sau ATMitch, cum a fost denumită mai târziu. Ea a fost detectată de două ori - o dată în Kazahstan și o dată în Rusia“. Cum s-a înfăptuit jaful perfect? Malware-ul a fost instalat de la distanță și pus în executare pe un ATM al băncii vizate, care este administrat de la distanță. ATMitch comunică apoi cu bancomatul ca și cum ar fi un program legitim, ceea ce le permite infractorilor să pună în aplicare o listă de comenzi (colectează informații despre numărul bancnotelor, ba chiar pot retrage cash la orice oră, printr-un simplu click). Un astfel de jaf durează doar câteva secunde. Cei de la Kaspersky nu știu încă cine se află în spatele atacurilor, însă tv.dll conține elemente de limbă rusă, iar grupurile cunoscute de hackeri care par să corespundă acestui profil sunt GCMAN și Carabank.