image

Nieuwe Ripper-malware voor geldautomaten ontdekt

zaterdag 27 augustus 2016, 09:17 door Redactie, 3 reacties

Onderzoekers hebben nieuwe malware voor geldautomaten ontdekt genaamd Ripper die mogelijk achter de diefstal van 300.000 euro van geldautomaten in Thailand zit. Deze week werd bekend dat criminelen 21 geldautomaten in Thailand hadden geïnfecteerd en zo omgerekend 300.000 euro konden stelen.

De aanvallers hadden het daarbij op geldautomaten van fabrikant NCR voorzien. De Thaise Government Savings Bank (GSB) besloot vervolgens om ongeveer de helft van de kwetsbare geldautomaten uit voorzorg uit te schakelen. De Ripper-malware blijkt in staat om geldautomaten van de drie grootste geldautomatenfabrikanten ter wereld te infecteren, waaronder NCR.

Eenmaal actief geeft het maximaal 40 biljetten per keer uit, wat het maximaal toegestane aantal door de geldautomatenfabrikant is. Ripper gebruikt verder het programma sdelete om geen forensische sporen achter te laten. Om de malware te installeren moet een aanvaller fysiek toegang hebben. Voor de installatie wordt een speciaal gemaakte pinpas met emv-chip gebruikt die als authenticatiemechanisme dient. Deze methode is niet uniek maar komt weinig voor.

Thailand

Beveiligingsbedrijf FireEye ontdekte de Ripper-malware en legt daarbij een verband met de aanvallen in Thailand. De malware werd namelijk vanuit Thailand naar de online virusscandienst van Google VirusTotal geupload. Ripper blijkt op 10 juli te zijn gemaakt, terwijl de aanvallen in Thailand een paar weken later plaatsvonden. Verder is Ripper in staat om automaten van NCR te infecteren en kan het de netwerkinterface van geldautomaten uitschakelen. Iets dat ook in Thailand gebeurde. Als laatste vereist Ripper een pinpas met emv-chip als authenticatiemethode, wat het ook gemeen heeft met de in Thailand gebruikte malware.

Reacties (3)
27-08-2016, 10:47 door Anoniem
"RIPPER is installed on the ATM by inserting a specially manufactured ATM card with an EMV chip that serves as the authentication mechanism." Klopt dit? In Skimer was de kaart voor zover ik kan zien gebruikt om de malware te activeren, deze was dan eerder via het netwerk of fysieke ATM toegang geinstalleerd.

Als het op Skimer gebaseerd is zijn er waarschijnlijk ook veel gebruikers geskimmed. Zie:
http://www.kaspersky.com/about/news/virus/2016/ATM-is-a-New-Skimmer

Als dit zo simpel is dan schort er toch zeker wel wat aan ATM beveiliging...

- Zonder admin rechten zijn de volgende handelingen niet mogelijk:
* RIPPER is installed as a service
* Replaces the original dbackup.exe binary under c:\Windows\system32\
* RIPPER will kill the processes running in memory via the native Windows “taskkill” tool

- Integrity checking en anti-virus zouden de volgende zaken op moeten merken:
* Creates a \Run\FwLoadPm registry key
* Will hide the Malware GUI by calling ShowWindow() API
* Replaces the original dbackup.exe binary
* Masquerades as a legitimate ATM process (processnaam? of process injection?)

- Als een automaat off-line gaat zou dat een alarm moeten veroorzaken met menselijke opvolging. Zeker als het meerdere keren bij dezelfde of meerdere ATMs is. Laat me raden: de video-feed gaat over dezelfde kabel naar de bank...
* Will shut down the ATM local network interface to prevent it from communicating with the bank.

Geeft de automaat biljetten uit zonder netwerkverbinding? Waarschijnlijk wel, gebruikersvriendelijk. Indien nee: monitor uitgifte van x biljetten in x tijd. Er zullen weinig gebruikers zijn welke 40 biljetten per keer nodig hebben en zeker niet meerdere keren achter elkaar of tegelijk op verschillende ATMs.

Het artikel spreekt over fysieke toegang voor infectie. De daders staan dus op camera met niet standaard pin handelingen. Waarschijnlijk worden de feeds niet real-time gemonitord. Wellicht kan software dit gedrag detecteren?

De bank vertelde trouwens dat klanten zich geen zorgen moesten maken. Er werd alleen geld uit de geldcasettes gestolen en niet van de rekeningen. Ik denk echter dat deze kosten moeiteloos op de klant afgewenteld zullen worden...
28-08-2016, 00:01 door Anoniem

Het artikel spreekt over fysieke toegang voor infectie. De daders staan dus op camera met niet standaard pin handelingen. Waarschijnlijk worden de feeds niet real-time gemonitord. Wellicht kan software dit gedrag detecteren?

Nah, aan de achterkant zijn geen camera's. Maar het stinkt omdat toegang tot de achterkant over meer schijven gaat. Ik kon nooit in de ruimte zonder dat hoofd facilitair z'n sleutel gebruikte.
30-08-2016, 14:46 door Anoniem
Door Anoniem: "RIPPER is installed on the ATM by inserting a specially manufactured ATM card with an EMV chip that serves as the authentication mechanism." Klopt dit? In Skimer was de kaart voor zover ik kan zien gebruikt om de malware te activeren, deze was dan eerder via het netwerk of fysieke ATM toegang geinstalleerd.

Als het op Skimer gebaseerd is zijn er waarschijnlijk ook veel gebruikers geskimmed. Zie:
http://www.kaspersky.com/about/news/virus/2016/ATM-is-a-New-Skimmer

Als dit zo simpel is dan schort er toch zeker wel wat aan ATM beveiliging...

- Zonder admin rechten zijn de volgende handelingen niet mogelijk:
* RIPPER is installed as a service
* Replaces the original dbackup.exe binary under c:\Windows\system32\
* RIPPER will kill the processes running in memory via the native Windows “taskkill” tool

- Integrity checking en anti-virus zouden de volgende zaken op moeten merken:
* Creates a \Run\FwLoadPm registry key
* Will hide the Malware GUI by calling ShowWindow() API
* Replaces the original dbackup.exe binary
* Masquerades as a legitimate ATM process (processnaam? of process injection?)

- Als een automaat off-line gaat zou dat een alarm moeten veroorzaken met menselijke opvolging. Zeker als het meerdere keren bij dezelfde of meerdere ATMs is. Laat me raden: de video-feed gaat over dezelfde kabel naar de bank...
* Will shut down the ATM local network interface to prevent it from communicating with the bank.

Geeft de automaat biljetten uit zonder netwerkverbinding? Waarschijnlijk wel, gebruikersvriendelijk. Indien nee: monitor uitgifte van x biljetten in x tijd. Er zullen weinig gebruikers zijn welke 40 biljetten per keer nodig hebben en zeker niet meerdere keren achter elkaar of tegelijk op verschillende ATMs.

Het artikel spreekt over fysieke toegang voor infectie. De daders staan dus op camera met niet standaard pin handelingen. Waarschijnlijk worden de feeds niet real-time gemonitord. Wellicht kan software dit gedrag detecteren?

De bank vertelde trouwens dat klanten zich geen zorgen moesten maken. Er werd alleen geld uit de geldcasettes gestolen en niet van de rekeningen. Ik denk echter dat deze kosten moeiteloos op de klant afgewenteld zullen worden...

meeste ATM machines zijn verouderde windows XP installaties, vaak sp2, zelden SP3, dus een exploit is daar zo op los te laten vaak jammer genoeg...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.