Тюпкин грабит банкоматы

Тюпкин грабит банкоматы

Тюпкин грабит банкоматы

«Лаборатория Касперского» выпустила отчет о расследовании обстоятельств кибератаки, направленной на банкоматы. В ходе расследования специалисты центра глобальных исследований и анализа «Лаборатории Касперского» выяснили, что основой атаки является вредоносная программа (троянец), получившая обозначение Backdoor.MSIL.Tyupkin.

Основной функцией Тюпкина оказалась выдача банкнот путем прямой манипуляции диспенсером (раздатчиком) банкнот.

Расследование выявило более 50 зараженных банкоматов восточноевропейских банков, причем компания не сообщает, о каких банках и странах идет речь. Зато в исследовании приведена диаграмма с данными VirusTotal – сервиса, анализирующего подозрительные файлы с помощью множества антивирусов. И, судя по этой диаграмме, уже 20 пользователей с территории России присылали Backdoor.MSIL.Tyupkin. Из других стран образцов Тюпкина поступило гораздо меньше. Это позволяет сделать вывод, что российские банкоматы не только не избежали внимания создателей троянца, но и являются основной для них целью. «Жертвами» оказались банкоматы одной и той же компании из первой тройки производителей, с операционной системой WindowsXP на борту, пишет banki.ru.

Процесс заражения банкомата удалось отследить с помощью видеокамер, установленных в помещениях с атакованными банкоматами. Преступники действуют «в лоб», просто открывая верхнюю часть банкомата ключом, затем устанавливают в оптический привод компьютера банкомата компакт-диск с вредоносной программой. Где они берут ключи – особый вопрос. Но известно, что самым простым способом раздобыть копию ключа является подкуп инженера технической поддержки, обслуживающего эти банкоматы. Кроме того, если замок в банкомате не менялся со времен приобретения аппарата у производителя, к нему может подходить общий для этой модели мастер-ключ.

«Лаборатория Касперского» не сообщила подробностей способа заражения. Скорее всего, злоумышленники перезагружают компьютер банкомата, входят в настройки BIOS, включают загрузку с компакт-диска и загружаются с диска с троянцем. После перезагрузки операционная система заражается Тюпкиным. Кроме того, троянец отключает встроенное защитное решение McAfee Solidcore. После этого преступники извлекают диск, запирают банкомат и покидают сцену. Очередь за дропами – сборщиками денег.

Работа дропов тоже оказалась «засвечена» камерами. Зараженный банкомат внешне работает точно так же, как раньше, но по воскресеньям и понедельникам строго с 01:00 до 05:00 он принимает дополнительные команды, которые нужно вводить с пинпада аппарата. В один из этих периодов дроп навещает банкомат и вводит команду, показывающую главное меню троянца на экране устройства. Помимо этой команды, как установили эксперты «Лаборатории Касперского», можно ввести команду на самоудаление троянца и команду на продление периода активности до 10:00. Специалисты компании даже сняли видеоролик, как это происходит.

Знания основных команд троянца недостаточно для обогащения. Создатели вредоносной программы позаботились о том, чтобы их детище оставалось под их контролем. При входе в главное меню троянец запрашивает одноразовый сессионный ключ, который выдают дропу его вышестоящие подельники.

Если введенный ключ оказался верным, троянец показывает содержимое кассет с банкнотами и запрашивает номер кассеты, из которой нужно извлечь деньги. После ввода номера диспенсер банкомата получает команду на выдачу 40 банкнот. Если код неверен, зловред отключает доступ банкомата к сети. Зачем он это делает, эксперты пока не выяснили. Предположительно, это должно затруднить расследование инцидента.

По мнению представителей «Лаборатории Касперского», Тюпкин относится к угрозам нового поколения, которые в скором будущем придут на смену традиционному кардерскому бизнесу – скиммингу. Скимминг приносил и приносит хорошие деньги, но имеет ряд проблем, предрекающих падение его популярности: сложная многоэтапная схема обогащения, относительно рискованная для ее участников (об этом говорит и растущее число арестов кардеров), неприменимость для карт с EMV-чипами, а также все более изощренные антискимминговые системы, применяющиеся производителями банкоматов. Тюпкин работает проще, грубее и прибыльнее, атакуя не карты, а саму карточную инфраструктуру.

Первые образцы троянца, проанализированные «Лабораторией Касперского», были скомпилированы в марте 2014 года. Это косвенно свидетельствует о том, что злоумышленники практически беспрепятственно «доят» банкоматы на протяжении многих месяцев. Точные потери банков неизвестны и никогда известны не будут, ясно лишь, что речь идет как минимум о миллионах долларов.

По словам ведущего антивирусного эксперта «Лаборатории Касперского» Висенте Диаза, это не первый троянец такого рода: «Мы уже видели несколько подобных образцов, таких как Ploutus. Этот вид троянцев отличается тем, что при удачном заражении обеспечивает преступникам немедленное обогащение».

Backdoor.Ploutus.B, модульный троянец, обнаруженный в конце 2013 года в мексиканских банкоматах, также умеет выдавать наличные деньги. Принципиальным его отличием от Tyupkin является получение команд через СМС-сообщения с помощью мобильного телефона, подключенного к USB-порту компьютера банкомата. Телефон неизбежно привлекает внимание инженеров и тем самым демаскирует заражение в случае, если банкомат нуждается в каком-то обслуживании, требующем открытия верхней части. Tyupkin этого недостатка лишен, поскольку внешне никак себя не проявляет до получения специальной команды.

«Злоумышленники научились заражать своим троянцем аппараты лишь одного производителя, – говорит Диаз. – Как только им удалось изобрести метод заражения банкомата определенной модели, они могут испробовать то же самое и с другими банкоматами данной модели. Атака будет успешно проходить до тех пор, пока банки не внедрят дополнительные защитные механизмы».

Эксперты «Лаборатории Касперского» призвали банки пересмотреть меры физической защиты своих банкоматов и инвестировать деньги в защитные решения, установить сигнализацию, а также заменить замки верхнего отсека. Удалить вредоносную программу с зараженного устройства можно с помощью бесплатных антивирусных инструментов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

К ноябрю мошенники создали более 200 доменов с темой чёрной пятницы

До сезона осенних распродаж остается еще месяц, но злоумышленники уже активизировались — начали массово регистрировать сайты с упоминанием «чёрной пятницы» в названии. Такие площадки появляются каждый год с началом осени, а пик приходится на ноябрь.

По данным компании BI.ZONE, вне сезона (с января по август) создается около 100–150 таких доменов в месяц.

Но как только стартует осень, цифры растут в несколько. В сентябре 2024 года появилось 263 домена, в октябре — 780, а в ноябре — уже 2083. В этом году тенденция повторяется: если летом фиксировалось в среднем 128 новых сайтов в месяц, то в сентябре зарегистрировали 202, а в октябре — уже 278. К ноябрю число может снова превысить две тысячи.

При этом, по оценке BI.ZONE, каждый десятый сайт с упоминанием «черной пятницы» может оказаться мошенническим.

Руководитель BI.ZONE DRP Дмитрий Кирюшкин напоминает:

«Ажиотаж вокруг скидок и выгодных покупок мошенники используют каждый год. Такие сайты часто маскируются под реальные магазины — меняют в названии один символ, используют старые логотипы или небрежный дизайн. Главное правило — не вводить личные данные и данные карт, если сайт вызывает хоть малейшее сомнение».

Интересно, что в доменной зоне .ru регистрируется лишь 1–2% подобных сайтов. По словам экспертов, в России «черная пятница» не настолько популярна, как на зарубежных рынках, а часть мошенников просто предпочитает иностранные домены — их сложнее заблокировать.

В то же время специалисты Координационного центра доменов .RU/.РФ отмечают позитивную тенденцию: число фишинговых доменов, копирующих крупные российские площадки вроде Ozon, Wildberries, «Авито» и «Яндекс Маркета», снизилось на 9% по сравнению с прошлым годом.

Аналитик центра Евгений Панков рассказал, что благодаря совместной работе регистраторов и профильных организаций среднее время блокировки вредоносных доменов сократилось до 15 часов.

Однако киберпреступники смещают акцент в другую сторону — в мессенджеры. За год число фишинговых сайтов, нацеленных на кражу учетных записей в Telegram, выросло в 4,5 раза, а в WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) — более чем в два раза.

Эксперты советуют пользователям быть особенно внимательными в период распродаж: проверять адрес сайта, не переходить по ссылкам из СМС и мессенджеров и не доверять слишком «щедрым» предложениям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru