ЛК расследовала дело о мистическом исчезновении денег из банкоматов

ЛК расследовала дело о мистическом исчезновении денег из банкоматов

ЛК расследовала дело о мистическом исчезновении денег из банкоматов

Однажды сотрудники банка обнаружили пустой банкомат: деньги из него исчезли, а следов физического повреждения или заражения вредоносными ПО не было заметно. В банковской корпоративной сети также не нашли следов взлома. Для расследования этого, казалось, безнадежного дела банк обратился за помощью к «Лаборатории Касперского».

Эксперты компании смогли не только распутать это ограбление, но также вышли на след новой хорошо подготовленной кибергруппировки, за которой вполне возможно могут стоять русскоговорящие атакующие из нашумевших групп GCMAN и Carbanak. 

На момент начала расследования специалисты «Лаборатории Касперского» обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA – поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь. 

Уже на следующий день после создания правил YARA эксперты «Лаборатории Касперского» нашли то, что искали, – образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане. 

Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.

Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.      

«Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего, нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch», – рассказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». 

47% россиян не готовы платить за зарубежный интернет, 28% уйдут в VPN

Идея сделать международный интернет платным не вызвала у россиян никакого энтузиазма. По данным исследования MAR CONSULT, 47% пользователей заявили, что вообще не готовы платить за доступ к зарубежным сайтам и сервисам. Еще 28% признались, что в таком случае будут искать способы обхода ограничений — через VPN, прокси и другие инструменты.

Зарубежные сервисы по-прежнему занимают заметную часть интернет-жизни россиян.

У четверти опрошенных они составляют не менее половины всего потребляемого трафика, а 4% пользуются практически исключительно иностранными ресурсами.

Самыми востребованными остаются зарубежные видеохостинги — YouTube, Vimeo и другие используют 45% респондентов. Среди молодежи от 18 до 24 лет этот показатель достигает 76%. Далее идут зарубежные мессенджеры (30%), облачные сервисы и почта (25%), социальные сети (20%) и ИИ-сервисы вроде ChatGPT, Gemini и Midjourney (20%).

К самой идее оплаты международного трафика большинство относится резко отрицательно. 59% выступают против такой инициативы, а столько же считают ее несправедливой. Поддерживают нововведение лишь 8% участников исследования.

Если плата все же появится, вариантов поведения у пользователей немного. Помимо тех, кто собирается искать обходные пути, 15% готовы полностью отказаться от зарубежных сервисов, 10% обещают перейти на российские аналоги, 8% планируют просто сократить использование иностранного контента. И лишь 4% заявили, что готовы платить любую установленную сумму.

Готовность платить тоже оказалась весьма скромной. Только 28% потенциально согласны на дополнительные расходы, причем половина из них — не более 100 рублей в месяц.

Генеральный директор MAR CONSULT Дмитрий Шиманов считает, что подобная мера скорее подтолкнет пользователей к нелегальным способам доступа, чем поможет развитию российских цифровых сервисов. По его мнению, рынок VPN и других инструментов обхода ограничений в таком случае получит новый импульс для роста, а идея импортозамещения в глазах пользователей станет выглядеть еще менее убедительной.

RSS: Новости на портале Anti-Malware.ru