image

Malware steelt geld uit Mexicaanse geldautomaten

zaterdag 12 oktober 2013, 14:53 door Redactie, 7 reacties

In Mexico zijn verschillende geldautomaten met speciale malware geïnfecteerd, die ervoor zorgt dat de automaten op commando geld uitgeven. De malware wordt Ploutus genoemd en is ontwikkeld om de geldautomaat op softwareniveau over te nemen.

Om de aanval uit te voeren moeten criminelen eerst toegang tot de automaat hebben. Vervolgens wordt de geldautomaat vanaf een boot-cd opgestart. Deze boot-cd bevat de malware die tijdens het opstarten het besturingssysteem van de geldautomaat infecteert. Daarnaast schakelt de malware ook de eventueel aanwezige virusscanner uit.

Toetsencombinatie

Na de installatie is het mogelijk om Ploutus via een speciale toetsencombinatie te activeren en kan er op commando geld worden uitgegeven. De enige mogelijkheid om de installatie van de malware te voorkomen is het uitschakelen van externe opslagapparaten, wat niet altijd mogelijk is, of het gebruik van speciale beveiligingssoftware die aanpassingen aan het besturingssysteem van de geldautomaat voorkomt.

De Ploutus-malware werd als eerste door het Russische beveiligingsbedrijf SafenSoft gerapporteerd. "De verschijning van nieuwe malware die in staat is om geld uit geldautomaten te stelen is zeer alarmerend", aldus CTO Stanislav Shevchenko. Hij waarschuwt dat als de malware op grote schaal gaat worden verspreid het een groot probleem voor banken kan worden.

Toegang

Onderzoekers van Trustwave Spiderlabs analyseerden de malware en stellen dat het om een interessant exemplaar gaat. Alleen al vanwege het feit dat geldautomatenmalware vrij bijzonder is. "Niet omdat het lastig te schrijven is", zegt onderzoeker Josh Grunzweig. Hij stelt dat geldautomatenmalware vooral bijzonder is doordat het lastig is te installeren.

Een aanvaller heeft meestal fysieke toegang tot het apparaat nodig. Net zoals in dit geval, waarbij de cd-rom van het systeem wordt gebruikt. "Toch is dit een echte dreiging die niet licht moet worden opgevat", besluit Grunzweig. Volgens Symantec zou de malware al zeker sinds 31 augustus van dit jaar in omloop zijn en is die met .NET technologie ontwikkeld. Hoeveel schade de malware heeft veroorzaakt is onbekend.

Image

Reacties (7)
12-10-2013, 15:10 door Anoniem
Haha, ik wist niet dat ze in Mexico euro's hadden? Volgens de foto tenminste.
12-10-2013, 19:14 door sjonniev
"het gebruik van speciale beveiligingssoftware".. wat een kletskoek. Als ze alleen maar die harde schijven zouden versleutelen zouden ze al van het probleem af zijn geweest. Niks speciaals meer aan tegenwoordig.
13-10-2013, 07:28 door AceHighness
Door sjonniev: "het gebruik van speciale beveiligingssoftware".. wat een kletskoek. Als ze alleen maar die harde schijven zouden versleutelen zouden ze al van het probleem af zijn geweest. Niks speciaals meer aan tegenwoordig.

Ik denk dat sjonnie hier een goed punt heeft. full disk encryption (zo eentje met een aparte boot loader) zou ervoor zorgen dat de disk nog encrypted is als je van een bootcd bent opgestart .. alleen hoe reboot je een pin automaat als er een passwoord moet worden ingevoerd tijdens het starten ? Ik denk dat die machines zo ontworpen zijn dat ze automatisch 'unattended' moeten kunnen starten ..
13-10-2013, 10:49 door sjonniev
Door AceHighness:
Door sjonniev: "het gebruik van speciale beveiligingssoftware".. wat een kletskoek. Als ze alleen maar die harde schijven zouden versleutelen zouden ze al van het probleem af zijn geweest. Niks speciaals meer aan tegenwoordig.

Ik denk dat sjonnie hier een goed punt heeft. full disk encryption (zo eentje met een aparte boot loader) zou ervoor zorgen dat de disk nog encrypted is als je van een bootcd bent opgestart .. alleen hoe reboot je een pin automaat als er een passwoord moet worden ingevoerd tijdens het starten ? Ik denk dat die machines zo ontworpen zijn dat ze automatisch 'unattended' moeten kunnen starten ..

Met SafeGuard Enterprise zijn er 2 methoden:

1. zonder Power On Authentication (POA). Dit betekent dat na aanzetten Windows gewoon opstart. Dit houdt in dat a. Alle gegevens om de HD-sleutel bij elkaar te krijgen op de harde schijf staan en b. zodra Windows geboot is er via een DMA apparaat (FireWire) de sleutel uit het geheugen gelezen kan worden.

2. Je kunt een policy maken die zegt: gebruik bij opstarten deze PIN. Als er dan bij opstarten een cryptographisch token beschikbaar is, dat met die PIN ontsloten kan worden, waarop geldige credentials staan voor die machine, start het zootje op. Heb je geen last van 1a, maar nog steeds van 1b. Maar dat geldt voor alle Windows machines zonder bescherming tegen DMA-aansprekende apparaten.
13-10-2013, 10:56 door Anoniem
Door AceHighness:
Door sjonniev: "het gebruik van speciale beveiligingssoftware".. wat een kletskoek. Als ze alleen maar die harde schijven zouden versleutelen zouden ze al van het probleem af zijn geweest. Niks speciaals meer aan tegenwoordig.

Ik denk dat sjonnie hier een goed punt heeft. full disk encryption (zo eentje met een aparte boot loader) zou ervoor zorgen dat de disk nog encrypted is als je van een bootcd bent opgestart .. alleen hoe reboot je een pin automaat als er een passwoord moet worden ingevoerd tijdens het starten ? Ik denk dat die machines zo ontworpen zijn dat ze automatisch 'unattended' moeten kunnen starten ..
Bij mijn weten wordt er bij geld-automaten (waarvan er overigens nog maar genoeg op XP draaien) vooral gekeken naar fysieke veiligheid. De verbinding loopt via een aparte lijn én VPN, de hardware zit opgeborgen achter een metalen pantser. Het gaat hier dus puur om een zgn. inside-job.

Full-disk encryption zou betekenen dat er tijdens een storing een IT-ert fysiek op locatie zou moeten zijn om deze storing op te lossen, waarbij diezelfde IT-ert dus ook toegang moet hebben tot allerlei wachtwoorden e.d.
Dat de controle op die IT-ert dan 0.0 is, lijkt me duidelijk. Dat dit niet wenselijk is voor alle betrokken partijen, inclusief die IT-ert (zou jij het leuk vinden om zonder beveiliging in je eentje aan zo'n ding te gaan staan prutsen op een donkere winter-avond???) lijkt me al helemaal vanzelfsprekend.

Tot slot is dit een probleem voor de bank, en ik ben al lang blij dat criminelen eindelijk een manier hebben gevonden zonder daarbij onschuldige slachtoffers te maken in de vorm van niets-vermoedende burgers.

Ik vind het hele verhaal wel grappig, het lijkt mij alleen veel makkelijker om het hele ding in één keer leeg te trekken als je toch al fysieke toegang tot het apparaat moet hebben om e.e.a. te installeren.
Door Redactie: Om de aanval uit te voeren moeten criminelen eerst toegang tot de automaat hebben. Vervolgens wordt de geldautomaat vanaf een boot-cd opgestart.
08-07-2014, 15:31 door Anoniem
"Ik vind het hele verhaal wel grappig, het lijkt mij alleen veel makkelijker om het hele ding in één keer leeg te trekken als je toch al fysieke toegang tot het apparaat moet hebben om e.e.a. te installeren."

Denk je soms dat fysieke toegang inhoudt dat je toegang hebt tot alles, en dat je zonder probleem op eigen houtje de geldlades kan leeghalen ? Indien iedere onderhoudsmonteur er doodleuk vandoor zou kunnen gaan met de geldvoorraad van een ATM, dan zou dergelijke diefstal schering en inslag zijn.

"Tot slot is dit een probleem voor de bank, en ik ben al lang blij dat criminelen eindelijk een manier hebben gevonden zonder daarbij onschuldige slachtoffers te maken in de vorm van niets-vermoedende burgers."

En, wie draait er voor op indien de bank verliezen draait ? Via opschroeven van tarieven en dergelijke zal dat uiteindelijk door de ''niets-vermoedende burger'' worden betaald. Uitgaven van bedrijven worden immers betaalt vanuit de inkomsten, bijvoorbeeld door verhogen van tarieven en rente percentages om het verlies af te dekken.
08-07-2014, 15:34 door Anoniem
"Full-disk encryption zou betekenen dat er tijdens een storing een IT-ert fysiek op locatie zou moeten zijn om deze storing op te lossen, waarbij diezelfde IT-ert dus ook toegang moet hebben tot allerlei wachtwoorden e.d.
Dat de controle op die IT-ert dan 0.0 is, lijkt me duidelijk."

Onderhoudsmonteurs werken op lokatie, en hebben toegang tot (sommige) wachtwoorden. Dat er wel degelijk controle is op hun werkzaamheden lijkt mij overigens duidelijk. Banken zorgen over het algemeen zeer goed voor zaken als seperation of duties, goede audit trails en ga zo maar door ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.