De Franse overheid wijst banken op een groep cybercriminelen die banknetwerken compromitteert en daarvandaan geldautomaten overneemt. Vervolgens worden katvangers ingezet om de geldcassettes van de automaten leeg te halen. Ook voeren de criminelen frauduleuze transacties uit via het Swift-systeem van de gecompromitteerde banken.
De groep wordt Silence genoemd en wordt verantwoordelijk gehouden voor aanvallen op banken in onder andere India, Bangladesh, Rusland, Chili, Costa Rica, Bulgarije en Ghana. Bij deze aanvallen zijn miljoenen euro's buitgemaakt. Hoewel het hier om banken gaat maakt de groep gebruik van algemeen bekende aanvalsmethodes, zo stelt het Franse Computer Emergency Response Team (CERT-FR).
De groep verstuurt e-mails naar bankmedewerkers, waarbij soms gecompromitteerde e-mailadressen van andere medewerkers worden gebruikt. De e-mails bevatten als bijlage een Word-document met een macro of exploit voor een oude kwetsbaarheid in Microsoft Office. Daarnaast versturen de aanvallers HTA- en LNK-bestanden als bijlagen.
Zodra bankmedewerkers de bijlagen openen of de macro in het Word-document toestaan, wordt er malware geïnstalleerd. Vervolgens wordt de rest van het banknetwerk gecompromitteerd waarbij de aanvallers het met name hebben voorzien op de systemen die voor internationale banktransacties worden gebruikt of de systemen waarmee banken hun geldautomaten beheren.
Zo kan de groep de opnamelimiet van geldautomaten en klanten verhogen, of ze nemen de geldautomaat volledig over. Op deze manier is het mogelijk om de geldautomaat op afstand geld uit te laten geven. Ingeschakelde katvangers staan vervolgens klaar om het geld mee of op te nemen.
CERT-FR stelt dat Silence één van de meest actieve en geraffineerde cybercrimegroepen van het moment is. De Franse overheidsinstantie merkt op dat sommige banken die slachtoffer zijn geworden het de groep makkelijker maakten door zich niet aan de PCI DSS-regels voor financiële instellingen te houden. Banken die deze regels niet volgen zijn gevoeliger voor aanvallen door de groep, maar sinds 2018 zijn banken wereldwijd door Silence aangevallen, aldus CERT-FR (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.