Cercetatorii Kaspersky Lab au descoperit un malware care vizeaza ATM-urile, vandut pe piata DarkNet, pentru infractorii amatori

Kaspersky Lab a identificat Cutlet Maker, noul kit malware de atac asupra ATM-urilor, creat pentru infractorii amatori. Cutlet Maker consta in trei componente si permite jefuirea ATM-ului daca atacatorul este capabil sa obtina accesul fizic la aparat.

Un set cu instrumente de operare care ar fi permis infractorilor sa fure milioane era pus in vanzare pentru doar 5000 de dolari si era echipat cu un ghid detaliat de utilizare.

ATM-urile continua sa fie tinte generatoare de profit pentru infractori. Daca unii se bazeaza pe metode de atac la nivel fizic, precum utilizarea unor instrumente de metal ascutite, altii aleg infectarea cu malware, care le permite sa manipuleze ATM-urile din interior.

Desi se cunosc de mai multi ani instrumente malware pentru atacarea ATM-urilor, ultimele descoperiri arata ca dezvoltatorii de malware investesc din ce in ce mai multe resurse ca sa faca ”produsele” lor disponibile pentru infractorii care nu sunt foarte familiarizati cu domeniul informaticii.

La inceputul anului, un partener Kaspersky Lab a furnizat unui cercetator de-al nostru o mostra de malware necunoscuta anterior, facuta, probabil, pentru a infecta PC-urile care functioneaza in interiorul ATM-urilor. Cercetatorii au fost curiosi sa vada daca acest malware sau ceva similar era disponibil la vanzare pe forumuri underground. Astfel, au descoperit pe DarkNet (AlphaBay) o reclama care facea referire la un fragment din malware-ul ATM si au aflat ca mostra initiala apartinea unui intreg kit malware, creat pentru a jefui ATM-urile.

O postare publica a vanzatorului de malware, descoperita de cercetatori, contine nu doar descrierea malware-ului si instructiuni referitoare la modul in care poate fi obtinut, ci si un ghid pas cu pas despre cum se poate folosi kit-ul malware in atacuri, cu instructiuni si tutoriale video.

Conform cercetarii, setul de instrumente malware consta in trei elemente:

. Software-ul Cutlet Maker, care serveste ca modul principal, responsabil de comunicarea cu caseta de bani ATM-ului.

. Programul c0decalc, creat pentru a genera o parola care sa lanseze aplicatia Cutlet Maker si sa o protejeze impotriva utilizarii neautorizate.

. Aplicatia Stimulator, care economiseste timpul infractorilor prin identificarea situatiei curente a casetelor de numerar din ATM. Prin instalarea acestei aplicatii, un intrus primeste informatii exacte despre tipul de moneda, valoarea si numarul bancnotelor din fiecare caseta. Astfel, poate sa aleaga direct bancnotele de cea mai mare valoare, in loc sa incerce la intamplare.

Mai intai, infractorii trebuie sa obtina acces direct in interiorul ATM-ului, ca sa ajunga la portul USB, folosit pentru a incarca malware-ul. Daca operatiunea are succes, introduc un dispozitiv USB care stocheaza setul de instrumente malware. Apoi, infractorii instaleaza Cutlet Maker. Acesta este protejat cu parola, asa ca folosesc programul c0decalc, instalat pe un alt dispozitiv (laptop sau tableta). Aceasta este un fel de protectie de tip “drepturi de autor”, instalata de creatorii Cutlet Maker, pentru a impiedica alti infractori sa il foloseasca gratuit. Dupa ce este generat codul, infractorii il introduc in interfata Cutler Maker pentru a incepe procesul de retragere a banilor.

Cutlet Maker a fost la vanzare din 27 martie 2017, dar, dupa cum au descoperit cercetatorii, cea mai veche mostra a aparut pe radarele comunitatii de securitate cibernetica in iunie 2016. La momentul respectiv, a fost trimis catre un serviciu multi-scanner public din Ucraina, dar mai tarziu a fost prezent si in alte tari. Nu este clar daca malware-ul a fost deja folosit in atacuri reale, insa instructiunile care au insotit kit-ul malware contineau materiale video prezentate de autorii lor drept dovezi din viata reala a eficientei malware-ului.

Nu se stie cine este in spatele acestui malware. Referitor la potentialii vanzatori ai setului, limba folosita, gramatica si greselile stilistice indica faptul ca acestia nu sunt vorbitori nativi de limba engleza.

”Cutlet Maker nu necesita aproape deloc cunostinte avansate sau competente de informatica la nivel profesionist, din partea infractorilor, ceea ce transforma atacarea ATM-urilor dintr-o operatiune cibernetica sofisticata intr-un un mod ilegal de a castiga bani, disponibil practic oricui are cateva mii de dolari pentru a cumpara malware-ul”, spune Konstantin Zykov, Security Researcher la Kaspersky Lab. “Acest lucru ar putea deveni o amenintare periculoasa pentru organizatiile financiare. Si mai ingrijorator este faptul ca, in timp ce opereaza, Cutlet Maker interactioneaza cu partea software si hardware a ATM-urilor, fara sa intampine aproape niciun obstacol de securitate. Acest lucru ar trebui sa se schimbe, pentru a intari defensiva ATM-urilor.”

Pentru protejarea ATM-urilor de atacuri realizate cu instrumente malware precum Cutlet Maker si o mai buna securitate fizica a ATM-urilor, specialistii Kaspersky Lab le recomanda echipelor de securitate ale organizatiilor financiare:
. Sa implementeze politici stricte default-deny pentru a impiedica orice software neautorizat sa ruleze pe ATM.

. Sa permita mecanismelor de control ale dispozitivului sa restrictioneze conectarea oricaror dispozitive neautorizate la ATM.
. Sa foloseasca o solutie de securitate personalizata, precum Kaspersky Embedded Systems Security, pentru a proteja ATM-urile de malware similar cu Cutlet Maker.

Sursa: Kaspersky Lab