Tội phạm mạng chỉ mất vài giây để lấy sạch tiền trong cột ATM

Chỉ mất vài giây để hacker lấy sạch tiền trong ATM

Tội phạm mạng tiếp tục nhắm đến các máy ATM ngân hàng và mới đây Kaspersky phát hiện 1 vụ trộm mà tội phạm chỉ mất vài giây để cuỗm sạch tiền từ cột ATM.

hack tien trong ATM

một ngày các nhân viên ngân hàng phát hiện ra một máy ATM rỗng: không có tiền, không có dấu vết tương tác vật lý với máy, và không mã độc. Sau khi các chuyên gia của Kaspersky Lab dành thời gian để Giải quyết hiện tượng bí ẩn này, họ phát hiện các công cụ tội phạm mạng sử dụng trong vụ cướp và tái tạo lại cuộc tấn công.
Vào tháng 2/2017 Kaspersky Lab Thông báo kết quả điều tra vụ tấn công bí mật vào các ngân hàng.
Sau khi tiền được rút sạch từ máy ATM, toàn bộ dữ liệu và quá trình tấn công bị hacker xóa dấu vết, tuy nhiên các chuyên gia của ngân hàng khôi phục được các bản ghi nhật ký từ ổ cứng của máy ATM (kl.txt và logfile.txt) và chia sẻ với Kaspersky Lab. Đó là các tệp duy nhất còn sót lại sau cuộc tấn công: không thể khôi phục các tệp nguy hiểm vì tội phạm mạng đã quét sạch mã độc. Nhưng những dữ liệu ít ỏi này cũng đủ để Kaspersky Lab tiến hành điều tra thành công.Tội phạm mạng chỉ mất vài giây để lấy sạch tiền trong cột ATM
trong những file nhật ký, các chuyên gia từ hãng bảo mật Nga đã tìm, nhóm và phân mẫu Các loại mã độc có liên quan và thu thập các kết nối giữa chúng.
Sau 1 ngày chờ đợi, các chuyên gia đã tìm thấy seri phần mềm độc hại mong muốn – “tv.dll”, sau đó được đặt tên là ‘ATMitch’
Phần mềm độc hại này được cài đặt từ xa trên một máy ATM của ngân hàng thông qua cơ chế quản lý các máy ATM từ xa. Sau khi cài đặt và kết hợp/ với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp. Nó cho phép kẻ tấn công thực hiện 1 số lệnh, ví dụ như thu thập Thông tin về số tiền trong ATM. Hơn thế nữa, nó cung cấp khả năng nhả tiền vào bất kể lúc nào, chỉ với một nút bấm.
Thông thường tội phạm tìm hiểu máy ATM có bao nhiêu tiền. Sau đó, 1 tên tội phạm có khả năng gửi lệnh để máy ATM nhả một số tiền bất kể. Sau khi rút tiền theo cách kì lạ này, tội phạm mạng chỉ cần lấy tiền và đi. một vụ cướp ATM như thế này chỉ mất vài giây!
một khi máy ATM bị cướp xong, mã độc sẽ tự xóa dấu vết của nó.
Vẫn chưa biết được ai đứng đằng sau những vụ tấn công này. Do chúng sử dụng các phần mềm dựa trên nguồn mở, các tiện lợi phổ biến của Windows, và các tên miền ko xác nhận trong suốt giai đoạn đầu của giai đoạn hoạt động khiến việc kiểm chứng nhóm chịu trách nhiệm là gần như ko thể. Tuy nhiên, mã độc “tv.dll” được áp dụng trong quá trình tấn công ATM chứa các nguồn tiếng Nga, và các nhà điều tra suy đoán chúng có thể là nhóm GCMAN hoặc Carbanak.
Các nhà nghiên cứu cho biết những kẻ tấn công này có thể vẫn còn hoạt động.