ЛК расследовала инциденты кражи наличных средств из банкоматов

Александр Панасенко 08 Октября 2014 - 12:07

...

Специалисты «Лаборатории Касперского» провели расследование череды кибератак, нацеленных на множество банкоматов по всему миру. В ходе работы было обнаружено вредоносное ПО, заражающее банкоматы и позволившее преступникам опустошить машины уже на миллионы долларов.

Международная организация уголовной полиции Интерпол оповестила затронутые страны и оказывает содействие в продолжающемся расследовании. На данный момент вредоносная программа обнаружена в системах банкоматов стран Латинской Америки, Европы и Азии. Россия находится на первом месте по числу зафиксированных инцидентов.

Схема работы злоумышленников делится на две этапа. Для начала они получают физический доступ к банкомату и используют загрузочный диск, чтобы установить вредоносную программу, получившую название Tyupkin в классификации «Лаборатории Касперского». После перезапуска системы преступники получают контроль над банкоматом – вредоносная программа активируется и ожидает дальнейших указаний. Чтобы запутать следы, команды принимаются только в определенное ночное время по воскресеньям и понедельникам – именно в течение этих часов преступники имеют возможность опустошить зараженные терминалы.

Видеозапись, полученная с камер безопасности, наглядно демонстрирует действия злоумышленников. Не вставляя карточек в банкомат, они вводят секретную комбинацию цифр, после чего связываются со своим оператором для получения дальнейших инструкций. Оператор знает алгоритм получения ответного кода. После его ввода банкомат начинает выдавать наличность из выбранной кассеты. Такой порядок процедуры исключает попытки бесконтрольного проведения подобных операций членами группировки.

«На протяжении последних нескольких лет мы наблюдали всплеск атак, нацеленных на банкоматы с использованием скимеров и вредоносных программ, заражающих системы обычных пользователей. Теперь мы переживаем следующий виток эволюции этих атак, в результате которого злоумышленники подобрались к финансовым организациям вплотную. Это заключается в заражении самих банкоматов или выполнении целевых и высокоуровневых атак класса Advanced Persistent Threat против банков: так, вредоносная программа Tyupkin является примером использования слабых мест в инфраструктуре банкоматов. Со своей стороны мы настоятельно рекомендуем руководствам банков провести ревизию физической защиты своей инфраструктуры и обратить внимание на качественные защитные решения», – отметил Висенте Диаз, ведущий антивирусный эксперт «Лаборатории Касперского».

«Злоумышленники постоянно находят новые способы обогатить набор своих инструментов для того, чтобы совершить очередное преступление, и очень важно, чтобы правоохранительные органы были осведомлены о новых трюках», – сказал Санджай Вирмани, глава центра расследования киберпреступлений Интерпола.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 13 Мая 2026 - 18:59

Корпорации Системы управления доступом (IdM/IAM)Выявление угроз для учётных данных и реагирование на них (ITDR) Компания Индид

Indeed ITDR 2.1 усилил контроль за учётными данными и LDAPS-трафиком

Компания «Индид» представила Indeed ITDR 2.1 — новую версию продукта для выявления и расследования угроз, связанных с компрометацией учётных данных. Indeed ITDR относится к классу Identity Threat Detection and Response.

Такие решения помогают отслеживать использование учётных записей, находить подозрительную активность в протоколах аутентификации и быстрее реагировать на возможные атаки.

Одним из главных изменений версии 2.1 стала поддержка геораспределённых инфраструктур. В продукте появился механизм сегментации: узлы обнаружения и контроллеры домена можно логически связывать внутри заданных сегментов. Это помогает избежать лишних маршрутов с высокой задержкой и стабильнее обрабатывать трафик в распределённых сетях.

По умолчанию сегментация строится на базе Active Directory Sites, но администраторы могут задавать собственные сегменты, если инфраструктура устроена нестандартно.

Также в Indeed ITDR 2.1 появилась обработка LDAPS-трафика. Это защищённый вариант LDAP, где обмен данными идёт через зашифрованный TLS-туннель. Для анализа используется TLS terminating proxy: трафик расшифровывается на узле обнаружения, проверяется, а затем снова шифруется при передаче на контроллер домена.

Такой подход помогает закрыть «слепые зоны» в мониторинге запросов аутентификации и выявлять небезопасные сценарии, например использование незашифрованного LDAP.

Ещё одно обновление — интеграция с Indeed Access Manager. Если эта система уже используется в организации, сценарии многофакторной аутентификации на базе Indeed ITDR можно запускать без повторной настройки аутентификаторов для пользователей. Запросы на подтверждение дополнительного фактора будут автоматически направляться в Indeed AM, а подтверждение выполняется через пуш-уведомления в приложении Indeed Key.

Помимо этого, в версии 2.1 улучшили производительность консоли управления, расширили настройки аутентификации и упростили обновление и переустановку решения.

Разработчики также доработали алгоритмы обнаружения атак. В частности, система стала точнее выявлять сценарии Kerberoasting, AS-REP Roasting и Password Spraying, а также фиксировать повторяющиеся подозрительные события и попытки использования небезопасных протоколов.

По словам руководителя продукта Indeed ITDR Льва Овчинникова, обновление должно упростить внедрение продукта в инфраструктуры разного масштаба и повысить предсказуемость его работы в сложных архитектурах.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!