image

'Bankpersoneel besmet geldautomaat met malware'

woensdag 27 maart 2013, 17:48 door Redactie, 10 reacties

Een Russisch beveiligingsbedrijft heeft malware ontdekt die geldautomaten infecteert met de bedoeling om kaartgegevens te stelen. De 'Dump Memory Grabber', zoals de malware wordt genoemd, kan naast geldautomaten ook kassasystemen besmetten. Infecties vinden plaats via corrupt bankpersoneel of kwetsbaarheden in het netwerk van de geldautomaten.

De criminelen zouden in dit geval met de VPN of GSM/GPRS-netwerken van de banken verbinding maken, zo stelt het Russische Group IB. Een aantal van de kassasystemen die op Windows XP of Windows Embedded met Remote Desktop of VNC software draaien, werd op afstand geïnfecteerd.

Volgens het Russische bedrijf zouden de aanvallen met name tegen Amerikaanse banken zijn gericht. Onder de getroffen banken zouden zich de Chase, Capital One, Citibank en Union Bank of California bevinden, zo meldt SecurityWeek.

Geheugen
Eenmaal actief op het systeem scant de malware het geheugen van de kassasystemen en geldautomaten, en zoekt daar naar creditcard- en debitcardgegevens. Daarbij worden zowel Track 1 als Track 2 gegevens gekopieerd. De logbestanden met gestolen kaartgegevens worden naar een server van de criminelen teruggestuurd.

"We hebben één van de Command & Control-servers voor de malware ontdekt, maar er zijn honderden kassasystemen en geldautomaten geïnfecteerd", zegt Andrey Komarov, CTO van CERT-GIB. Een partij die met Group-IB geaffilieerd is.

Volgens beveiligingsexpert Aviv Raff is het voor criminelen eenvoudiger om tientallen kassasystemen aan te vallen dan tienduizenden consumentencomputers te infecteren. "Het resultaat is uiteindelijk hetzelfde."

Insider
De nu ontdekte Dump Memory Grabber zou helemaal in C++ zijn geschreven en voegt zich aan het systeemregister toe. Daardoor wordt het automatisch geladen als het systeem start. De kern van de malware zoekt in het geheugen naar gevoelige gegevens. Het logbestand met gegevens wordt vervolgens via FTP naar een Russisch IP-adres gestuurd.

De meeste van de kassasystemen en geldautomaten die Group-IB onderzocht waren geïnfecteerd met de hulp van 'insiders', medewerkers van de organisaties in kwestie. Zoals werknemers die verantwoordelijk voor het beheer van de systemen zijn en de rechten en toestemming hebben om de software te updaten. Hoeveel schade de malware heeft veroorzaakt is onbekend.

Reacties (10)
27-03-2013, 18:19 door Skizmo
Het is ook van de zotten dat pinautomaten op windows draaien. Dat zou dus echt bij wet verboden moeten worden.
27-03-2013, 18:33 door [Account Verwijderd]
[admin] Het is aangepast [/admin]
27-03-2013, 19:02 door [Account Verwijderd]
[Verwijderd]
28-03-2013, 00:29 door Anoniem
Door Skizmo: Het is ook van de zotten dat pinautomaten op windows draaien. Dat zou dus echt bij wet verboden moeten worden.
so what ? als je admin toegang hebt maakt het niet uit welk OS het is
28-03-2013, 04:22 door Anoniem
Het verbieden van Windows zal niet veel uithalen. Cybercriminelen zullen dan het nieuwe OS onder de loep nemen en ongetwijfeld zwakheden ontdekken.
28-03-2013, 08:45 door BaseMent
Wat heeft dit met Windows te maken? Essentie is dat mensen malware installeren op die systemen. Dat zijn in nagenoeg alle gevallen mensen met kennis van binnenuit.
Je zult dus aan de slag moeten met controlemechanismen dat bijvoorbeeld periodiek al jouw geldautomaten scant. Om te beginnen dus he. En interne processen en procedures aanscherpen. Wat voor authnticatie mechanisme is bijvoorbeeld gebruikt voor toegang via GSM. Controle op simkaartnummer is zinloos, omdat je als geldboer geen controle hebt over de GSM operator en controles op bijvoorbeeld 06-nummer of simkaart daarmee zinloos is.
28-03-2013, 09:07 door Anoniem
Ik wil niet veel zeggen, hoor... maar de pin automaten in Nederland draaien ook op Windows, hoor !
28-03-2013, 12:17 door Anoniem
Door BaseMent: Wat heeft dit met Windows te maken? Essentie is dat mensen malware installeren op die systemen. Dat zijn in nagenoeg alle gevallen mensen met kennis van binnenuit.
Op dezelfde wijze als dat je geldkluizen niet van lood maakt, maar van gehard staal. Je hebt wel gelijk dat er voor een veilige omgeving meer is dan goede software. Maar als je al met brakke software begint, dan heb je jezelf al gelijk op achterstand gezet. En nee, dat windows zo breed in gebruik is, is niet de enige reden dat er zoveel exploits voor zijn.

Onder andere is daar dat de software zelf brak is, dat de interfaces vaak ondoorzichtig zijn, maar ook dat er een cultuurtje omheen gebouwd is (ook door de fabrikant zelf, want het verkoopt beter) van "intuitief, geen training nodig", waarmee de domste gedaan worden die dan als volstrekt normaal gezien worden. Inclusief door door de fabrikant opgeleidde "experts". Niet voor niets dat MCSE een bijwoord voor onkundig geworden is. Daar is haast niet tegenop te boxen met je procedures en controlemechanismen.

Door Windmolentje: Nou, dat is leuk dan. Geld kun je met goed fatsoen dus niet meer uit de automaat halen straks.
Dat willen ze nu al niet. Gebruik maar een pinpas, kredietkaart, overschrijving, ideal, nfc-telefoon, of andere electronische variant. Want dat contant, dat is "niet handig" (lees: lang niet zo makkelijk te traceren).

Moet je eens nadenken wat er gebeurd zou zijn als Cyprus zich compleet "cashloos" gemaakt zou hebben, nu daar met die financieele chaos daar. Weet je gelijk nog een reden waarom ik een leuke buffer aanhoud en alles contant betaal. Ik ben niet direct afhankelijk van of mijn pinpas het nog doet.

Tijd om onze banken maar weer eens duidelijk te maken dat we toch wel graag een goede contantverzorging hebben willen.
28-03-2013, 12:48 door _R0N_
Door Skizmo: Het is ook van de zotten dat pinautomaten op windows draaien. Dat zou dus echt bij wet verboden moeten worden.

Heeft niets met windows te maken.. als een admin van een linux systeem een stuk software installeert voor hetzelfde doel had je ook niet gereageert...
28-03-2013, 13:25 door Rasalom
Door Windmolentje: Nou, dat is leuk dan. Geld kun je met goed fatsoen dus niet meer uit de automaat halen straks.
Als je dit schrijft vanuit Rusland, dan komt het daar wel op neer misschien. Russen zijn het deel sociaal uit socialisme echt volledig kwijt lijkt het.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.