Gli esperti di Kaspersky Lab hanno condotto un’indagine forense in risposta agli attacchi informatici che hanno colpito numerosi bancomat in tutto il mondo
Nel corso dell’indagine, i ricercatori dell’azienda hanno scoperto un malware che infetta i bancomat permettendo agli aggressori di svuotare gli sportelli automatici tramite manipolazione diretta, rubando milioni di dollari. INTERPOL ha allertato i paesi membri colpiti ed è coinvolta nelle indagini in corso.
I criminali lavorano di notte, solo di domenica e lunedì. Senza inserire nessuna carta di credito nel bancomat, digitano una combinazione numerica sulla tastiera dello sportello automatico, fanno una chiamata per ricevere ulteriori informazioni da un operatore, inseriscono un’altra serie di numeri e il bancomat inizia a regalare contanti.
Come si sono svolti gli attacchi
I criminali operano in due fasi. Per prima cosa, ottengono accesso fisico ai bancomat e inseriscono un CD avviabile per installare il malware – chiamato “Tyupkin” da Kaspersky Lab. Dopodiché riavviano il sistema ottenendo il controllo del bancomat infetto.
Dopo l’infezione, il malware va in loop in attesa di un comando. Per rendere la truffa più difficile da individuare, il malware Tyupkin accetta comandi solo in un determinato momento durante le notti di domenica e lunedì. In queste ore i criminali sono in grado di rubare denaro dai dispositivi infetti.
I filmati ottenuti dalle telecamere di sicurezza presso i bancomat infettati mostrano la metodologia usata per ottenere i contanti dai dispositivi. Una nuova combinazione basata su una serie random di numeri viene generata ad ogni sessione. Questo assicura che nessuno al di fuori della banda possa accidentalmente trarre vantaggio dalla frode. Quindi, il criminale riceve istruzioni al telefono da un altro membro della banda che conosce l’algoritmo ed è in grado di generare una session key in base al numero mostrato. Questo garantisce che i muli preposti alla raccolta del denaro non provino ad agire individualmente.
Quando la chiave viene inserita correttamente, il bancomat indica i dettagli sulla quantità di denaro disponibile in ogni sportello automatico, invitando l’operatore a scegliere il bancomat da derubare. Quindi, il dispositivo eroga 40 banconote alla volta.
Il Malware Tyupkin
In seguito alla richiesta da parte di un’istituzione finanziaria, il Global Research and Analysis Team di Kaspersky Lab ha condotto un’indagine forense su questo attacco cybercriminale. Il malware identificato da Kaspersky Lab, chiamato Backdoor.MSIL.Tyupkin, è stato finora individuato in bancomat situati in America Latina, Europa e Asia.
“Negli ultimi anni, abbiamo osservato un boom degli attacchi ai bancomat tramite dispositivi per la clonazione e software maligni. Vediamo ora l’evoluzione naturale di questa minaccia con i cyber criminali che puntano più in alto e mirano direttamente alle istituzioni finanziarie. Questo viene fatto infettando i bancomat o lanciando attacchi diretti in stile APT contro le banche. Il malware Tyupkin è un esempio di come i criminali traggano profitto dalle debolezze dell’infrastruttura dei bancomat”, ha commentato Vicente Diaz, Principal Security Researcher at Kaspersky Lab’s Global Research and Analysis Team. “Consigliamo vivamente alle banche di rivedere la sicurezza fisica dei bancomat e dell’infrastruttura di rete e prendere in considerazione di investire in soluzioni di sicurezza di qualità”, ha aggiunto Diaz.
“I criminali trovano sempre nuovi modi per commettere reati, ed è essenziale coinvolgere le forze dell’ordine dei paesi membri e tenerle aggiornate sulle tendenze attuali e sui modus operandi”, ha affermato Sanjay Virmani, Director dell’INTERPOL Digital Crime Centre.
Cosa possono fare le banche per ridurre i rischi:
- Esaminare la sicurezza fisica dei bancomat e prendere in considerazione di investire in soluzioni di sicurezza di qualità.
- Sostituire tutte le serrature e i passepartout degli sporteli automatici forniti di default dal produttore.
- Installare un allarme e assicurarsi che funzioni correttamente. I cyber criminali dietro a Tyupkin hanno infettato solo bancomat senza sistemi di sicurezza installati.
- Cambiare la password BIOS di default.
- Assicurarsi che i dispositivi abbiano una protezione antivirus aggiornata.
- Per consigli su come assicurarsi che i vostri bancomat non siano stati infettati, contattateci al seguente indirizzo di posta elettronica: intelreports@kaspersky.com. Per effettuare una scansione completa del sistema dei bancomat ed eliminare la backdoor, utilizzare il Kaspersky Virus Removal Tool gratuito (che può essere scaricato qui).
