Onderzoekers hebben nieuwe malware voor geldautomaten ontdekt genaamd Ripper die mogelijk achter de diefstal van 300.000 euro van geldautomaten in Thailand zit. Deze week werd bekend dat criminelen 21 geldautomaten in Thailand hadden geïnfecteerd en zo omgerekend 300.000 euro konden stelen.
De aanvallers hadden het daarbij op geldautomaten van fabrikant NCR voorzien. De Thaise Government Savings Bank (GSB) besloot vervolgens om ongeveer de helft van de kwetsbare geldautomaten uit voorzorg uit te schakelen. De Ripper-malware blijkt in staat om geldautomaten van de drie grootste geldautomatenfabrikanten ter wereld te infecteren, waaronder NCR.
Eenmaal actief geeft het maximaal 40 biljetten per keer uit, wat het maximaal toegestane aantal door de geldautomatenfabrikant is. Ripper gebruikt verder het programma sdelete om geen forensische sporen achter te laten. Om de malware te installeren moet een aanvaller fysiek toegang hebben. Voor de installatie wordt een speciaal gemaakte pinpas met emv-chip gebruikt die als authenticatiemechanisme dient. Deze methode is niet uniek maar komt weinig voor.
Beveiligingsbedrijf FireEye ontdekte de Ripper-malware en legt daarbij een verband met de aanvallen in Thailand. De malware werd namelijk vanuit Thailand naar de online virusscandienst van Google VirusTotal geupload. Ripper blijkt op 10 juli te zijn gemaakt, terwijl de aanvallen in Thailand een paar weken later plaatsvonden. Verder is Ripper in staat om automaten van NCR te infecteren en kan het de netwerkinterface van geldautomaten uitschakelen. Iets dat ook in Thailand gebeurde. Als laatste vereist Ripper een pinpas met emv-chip als authenticatiemethode, wat het ook gemeen heeft met de in Thailand gebruikte malware.
Deze posting is gelocked. Reageren is niet meer mogelijk.