Malware steelt geld uit Mexicaanse geldautomaten
In Mexico zijn verschillende geldautomaten met speciale malware geïnfecteerd, die ervoor zorgt dat de automaten op commando geld uitgeven. De malware wordt Ploutus genoemd en is ontwikkeld om de geldautomaat op softwareniveau over te nemen.
Om de aanval uit te voeren moeten criminelen eerst toegang tot de automaat hebben. Vervolgens wordt de geldautomaat vanaf een boot-cd opgestart. Deze boot-cd bevat de malware die tijdens het opstarten het besturingssysteem van de geldautomaat infecteert. Daarnaast schakelt de malware ook de eventueel aanwezige virusscanner uit.
Toetsencombinatie
Na de installatie is het mogelijk om Ploutus via een speciale toetsencombinatie te activeren en kan er op commando geld worden uitgegeven. De enige mogelijkheid om de installatie van de malware te voorkomen is het uitschakelen van externe opslagapparaten, wat niet altijd mogelijk is, of het gebruik van speciale beveiligingssoftware die aanpassingen aan het besturingssysteem van de geldautomaat voorkomt.
De Ploutus-malware werd als eerste door het Russische beveiligingsbedrijf SafenSoft gerapporteerd. "De verschijning van nieuwe malware die in staat is om geld uit geldautomaten te stelen is zeer alarmerend", aldus CTO Stanislav Shevchenko. Hij waarschuwt dat als de malware op grote schaal gaat worden verspreid het een groot probleem voor banken kan worden.
Toegang
Onderzoekers van Trustwave Spiderlabs analyseerden de malware en stellen dat het om een interessant exemplaar gaat. Alleen al vanwege het feit dat geldautomatenmalware vrij bijzonder is. "Niet omdat het lastig te schrijven is", zegt onderzoeker Josh Grunzweig. Hij stelt dat geldautomatenmalware vooral bijzonder is doordat het lastig is te installeren.
Een aanvaller heeft meestal fysieke toegang tot het apparaat nodig. Net zoals in dit geval, waarbij de cd-rom van het systeem wordt gebruikt. "Toch is dit een echte dreiging die niet licht moet worden opgevat", besluit Grunzweig. Volgens Symantec zou de malware al zeker sinds 31 augustus van dit jaar in omloop zijn en is die met .NET technologie ontwikkeld. Hoeveel schade de malware heeft veroorzaakt is onbekend.
Ik denk dat sjonnie hier een goed punt heeft. full disk encryption (zo eentje met een aparte boot loader) zou ervoor zorgen dat de disk nog encrypted is als je van een bootcd bent opgestart .. alleen hoe reboot je een pin automaat als er een passwoord moet worden ingevoerd tijdens het starten ? Ik denk dat die machines zo ontworpen zijn dat ze automatisch 'unattended' moeten kunnen starten ..
Ik denk dat sjonnie hier een goed punt heeft. full disk encryption (zo eentje met een aparte boot loader) zou ervoor zorgen dat de disk nog encrypted is als je van een bootcd bent opgestart .. alleen hoe reboot je een pin automaat als er een passwoord moet worden ingevoerd tijdens het starten ? Ik denk dat die machines zo ontworpen zijn dat ze automatisch 'unattended' moeten kunnen starten ..
Met SafeGuard Enterprise zijn er 2 methoden:
1. zonder Power On Authentication (POA). Dit betekent dat na aanzetten Windows gewoon opstart. Dit houdt in dat a. Alle gegevens om de HD-sleutel bij elkaar te krijgen op de harde schijf staan en b. zodra Windows geboot is er via een DMA apparaat (FireWire) de sleutel uit het geheugen gelezen kan worden.
2. Je kunt een policy maken die zegt: gebruik bij opstarten deze PIN. Als er dan bij opstarten een cryptographisch token beschikbaar is, dat met die PIN ontsloten kan worden, waarop geldige credentials staan voor die machine, start het zootje op. Heb je geen last van 1a, maar nog steeds van 1b. Maar dat geldt voor alle Windows machines zonder bescherming tegen DMA-aansprekende apparaten.
Ik denk dat sjonnie hier een goed punt heeft. full disk encryption (zo eentje met een aparte boot loader) zou ervoor zorgen dat de disk nog encrypted is als je van een bootcd bent opgestart .. alleen hoe reboot je een pin automaat als er een passwoord moet worden ingevoerd tijdens het starten ? Ik denk dat die machines zo ontworpen zijn dat ze automatisch 'unattended' moeten kunnen starten ..
Full-disk encryption zou betekenen dat er tijdens een storing een IT-ert fysiek op locatie zou moeten zijn om deze storing op te lossen, waarbij diezelfde IT-ert dus ook toegang moet hebben tot allerlei wachtwoorden e.d.
Dat de controle op die IT-ert dan 0.0 is, lijkt me duidelijk. Dat dit niet wenselijk is voor alle betrokken partijen, inclusief die IT-ert (zou jij het leuk vinden om zonder beveiliging in je eentje aan zo'n ding te gaan staan prutsen op een donkere winter-avond???) lijkt me al helemaal vanzelfsprekend.
Tot slot is dit een probleem voor de bank, en ik ben al lang blij dat criminelen eindelijk een manier hebben gevonden zonder daarbij onschuldige slachtoffers te maken in de vorm van niets-vermoedende burgers.
Ik vind het hele verhaal wel grappig, het lijkt mij alleen veel makkelijker om het hele ding in één keer leeg te trekken als je toch al fysieke toegang tot het apparaat moet hebben om e.e.a. te installeren.
Denk je soms dat fysieke toegang inhoudt dat je toegang hebt tot alles, en dat je zonder probleem op eigen houtje de geldlades kan leeghalen ? Indien iedere onderhoudsmonteur er doodleuk vandoor zou kunnen gaan met de geldvoorraad van een ATM, dan zou dergelijke diefstal schering en inslag zijn.
"Tot slot is dit een probleem voor de bank, en ik ben al lang blij dat criminelen eindelijk een manier hebben gevonden zonder daarbij onschuldige slachtoffers te maken in de vorm van niets-vermoedende burgers."
En, wie draait er voor op indien de bank verliezen draait ? Via opschroeven van tarieven en dergelijke zal dat uiteindelijk door de ''niets-vermoedende burger'' worden betaald. Uitgaven van bedrijven worden immers betaalt vanuit de inkomsten, bijvoorbeeld door verhogen van tarieven en rente percentages om het verlies af te dekken.
Dat de controle op die IT-ert dan 0.0 is, lijkt me duidelijk."
Onderhoudsmonteurs werken op lokatie, en hebben toegang tot (sommige) wachtwoorden. Dat er wel degelijk controle is op hun werkzaamheden lijkt mij overigens duidelijk. Banken zorgen over het algemeen zeer goed voor zaken als seperation of duties, goede audit trails en ga zo maar door ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
