Nieuwe Ripper-malware voor geldautomaten ontdekt
Onderzoekers hebben nieuwe malware voor geldautomaten ontdekt genaamd Ripper die mogelijk achter de diefstal van 300.000 euro van geldautomaten in Thailand zit. Deze week werd bekend dat criminelen 21 geldautomaten in Thailand hadden geïnfecteerd en zo omgerekend 300.000 euro konden stelen.
De aanvallers hadden het daarbij op geldautomaten van fabrikant NCR voorzien. De Thaise Government Savings Bank (GSB) besloot vervolgens om ongeveer de helft van de kwetsbare geldautomaten uit voorzorg uit te schakelen. De Ripper-malware blijkt in staat om geldautomaten van de drie grootste geldautomatenfabrikanten ter wereld te infecteren, waaronder NCR.
Eenmaal actief geeft het maximaal 40 biljetten per keer uit, wat het maximaal toegestane aantal door de geldautomatenfabrikant is. Ripper gebruikt verder het programma sdelete om geen forensische sporen achter te laten. Om de malware te installeren moet een aanvaller fysiek toegang hebben. Voor de installatie wordt een speciaal gemaakte pinpas met emv-chip gebruikt die als authenticatiemechanisme dient. Deze methode is niet uniek maar komt weinig voor.
Thailand
Beveiligingsbedrijf FireEye ontdekte de Ripper-malware en legt daarbij een verband met de aanvallen in Thailand. De malware werd namelijk vanuit Thailand naar de online virusscandienst van Google VirusTotal geupload. Ripper blijkt op 10 juli te zijn gemaakt, terwijl de aanvallen in Thailand een paar weken later plaatsvonden. Verder is Ripper in staat om automaten van NCR te infecteren en kan het de netwerkinterface van geldautomaten uitschakelen. Iets dat ook in Thailand gebeurde. Als laatste vereist Ripper een pinpas met emv-chip als authenticatiemethode, wat het ook gemeen heeft met de in Thailand gebruikte malware.
Als het op Skimer gebaseerd is zijn er waarschijnlijk ook veel gebruikers geskimmed. Zie:
http://www.kaspersky.com/about/news/virus/2016/ATM-is-a-New-Skimmer
Als dit zo simpel is dan schort er toch zeker wel wat aan ATM beveiliging...
- Zonder admin rechten zijn de volgende handelingen niet mogelijk:
* RIPPER is installed as a service
* Replaces the original dbackup.exe binary under c:\Windows\system32\
* RIPPER will kill the processes running in memory via the native Windows “taskkill” tool
- Integrity checking en anti-virus zouden de volgende zaken op moeten merken:
* Creates a \Run\FwLoadPm registry key
* Will hide the Malware GUI by calling ShowWindow() API
* Replaces the original dbackup.exe binary
* Masquerades as a legitimate ATM process (processnaam? of process injection?)
- Als een automaat off-line gaat zou dat een alarm moeten veroorzaken met menselijke opvolging. Zeker als het meerdere keren bij dezelfde of meerdere ATMs is. Laat me raden: de video-feed gaat over dezelfde kabel naar de bank...
* Will shut down the ATM local network interface to prevent it from communicating with the bank.
Geeft de automaat biljetten uit zonder netwerkverbinding? Waarschijnlijk wel, gebruikersvriendelijk. Indien nee: monitor uitgifte van x biljetten in x tijd. Er zullen weinig gebruikers zijn welke 40 biljetten per keer nodig hebben en zeker niet meerdere keren achter elkaar of tegelijk op verschillende ATMs.
Het artikel spreekt over fysieke toegang voor infectie. De daders staan dus op camera met niet standaard pin handelingen. Waarschijnlijk worden de feeds niet real-time gemonitord. Wellicht kan software dit gedrag detecteren?
De bank vertelde trouwens dat klanten zich geen zorgen moesten maken. Er werd alleen geld uit de geldcasettes gestolen en niet van de rekeningen. Ik denk echter dat deze kosten moeiteloos op de klant afgewenteld zullen worden...
Het artikel spreekt over fysieke toegang voor infectie. De daders staan dus op camera met niet standaard pin handelingen. Waarschijnlijk worden de feeds niet real-time gemonitord. Wellicht kan software dit gedrag detecteren?
Nah, aan de achterkant zijn geen camera's. Maar het stinkt omdat toegang tot de achterkant over meer schijven gaat. Ik kon nooit in de ruimte zonder dat hoofd facilitair z'n sleutel gebruikte.
Als het op Skimer gebaseerd is zijn er waarschijnlijk ook veel gebruikers geskimmed. Zie:
http://www.kaspersky.com/about/news/virus/2016/ATM-is-a-New-Skimmer
Als dit zo simpel is dan schort er toch zeker wel wat aan ATM beveiliging...
- Zonder admin rechten zijn de volgende handelingen niet mogelijk:
* RIPPER is installed as a service
* Replaces the original dbackup.exe binary under c:\Windows\system32\
* RIPPER will kill the processes running in memory via the native Windows “taskkill” tool
- Integrity checking en anti-virus zouden de volgende zaken op moeten merken:
* Creates a \Run\FwLoadPm registry key
* Will hide the Malware GUI by calling ShowWindow() API
* Replaces the original dbackup.exe binary
* Masquerades as a legitimate ATM process (processnaam? of process injection?)
- Als een automaat off-line gaat zou dat een alarm moeten veroorzaken met menselijke opvolging. Zeker als het meerdere keren bij dezelfde of meerdere ATMs is. Laat me raden: de video-feed gaat over dezelfde kabel naar de bank...
* Will shut down the ATM local network interface to prevent it from communicating with the bank.
Geeft de automaat biljetten uit zonder netwerkverbinding? Waarschijnlijk wel, gebruikersvriendelijk. Indien nee: monitor uitgifte van x biljetten in x tijd. Er zullen weinig gebruikers zijn welke 40 biljetten per keer nodig hebben en zeker niet meerdere keren achter elkaar of tegelijk op verschillende ATMs.
Het artikel spreekt over fysieke toegang voor infectie. De daders staan dus op camera met niet standaard pin handelingen. Waarschijnlijk worden de feeds niet real-time gemonitord. Wellicht kan software dit gedrag detecteren?
De bank vertelde trouwens dat klanten zich geen zorgen moesten maken. Er werd alleen geld uit de geldcasettes gestolen en niet van de rekeningen. Ik denk echter dat deze kosten moeiteloos op de klant afgewenteld zullen worden...
meeste ATM machines zijn verouderde windows XP installaties, vaak sp2, zelden SP3, dus een exploit is daar zo op los te laten vaak jammer genoeg...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
