Вирусная угроза для банкоматов

При введении кода банкомат сам выдает злоумышленникам всю наличность из первой кассеты диспенсера, где хранятся до 40 самых крупных ассигнаций (номиналом 1 тыс. или 5 тыс. рублей). Новый способ атак на банкоматы представляет собой так называемый «бестелесный» или «бесфайловый» вирус, который живет в оперативной памяти технического устройства по выдаче денег. Злоумышленники взламывают внешний контур сети банка, далее проникают в компьютер специалиста, отвечающего за банкоматную сеть, а оттуда вирус попадает в отдельный замкнутый контур сети банкоматов. Так как вирус не имеет файлового тела, его не видят программы-антивирусы, а значит, он может жить в зараженном аппарате сколь угодно долго. Пока таким «трояном» оказались заражены устройства крупнейшего производителя банкоматов — NCR.

Описанная тактика атаки очень похожа на работу группировки Cobalt. О бесконтактных атаках на банкоматы российских и международных банков этой группировкой наша лаборатория компьютерной криминалистики уже сообщала в ноябре 2016 года. Тогда мы проанализировали атаки на банкоматы в России, СНГ и в дальнем зарубежье и пришли к выводу, что группировка с российскими корнями в течение всего 2016 года атаковала банки в 15 странах, в том числе в Великобритании, Польше, Германии, Испании, Нидерландах, Румынии, Малайзии, на Тайване.

Техника проведения той атаки несколько отличалась от нынешней. Тогда грабители опустошали банкоматы полностью, а для осуществления выдачи денег им требовалось совершить телефонный звонок — никаких физических манипуляций с банкоматом не производилось. Атаковано было несколько типов банкоматов, в том числе NCR и Wincor Nixdorf. Заражение сетей банков осуществлялось путем фишинговых рассылок, при этом проникновение и заражение происходило с использованием общедоступных инструментов. Кратчайшее время получения полного контроля над сетью банка, которого добились эти злоумышленники, — 10 минут.

Если говорить о суммах ущерба, не всегда эта информация публична, но на Тайване, например, было похищено более 2 миллионов долларов США в местной валюте. В кассете с самыми крупными купюрами одного российского банкомата содержится до двух миллионов рублей.

Что же касается возможных механизмов защиты, то прежде всего банкам, не только крупным, но и региональным, необходимо перестать экономить и использовать не только антивирусные программы, которые не могут защитить от целевых атак типа Cobalt, но и такие технические средства, как детекторы обнаружения угроз в корпоративных сетях и системы киберразведки. Такие технические средства помогают защититься от уже существующего заражения и предотвращать кибератаки до того, как они нанесли серьезный ущерб, а также предсказывать поведение киберпреступников в будущем. Речь идет о сервисах киберразведки и детекторе угроз TDS.

Современный хакер более не юноша-одиночка с длинными сальными волосами, который ради интереса ломает ночами Пентагон. Теперь хакерство — хорошо организованный коллективный бизнес. Это мощные проекты, над которыми работают целые команды опытных программистов.    

Мнение колумнистов может не совпадать с точкой зрения редакции