Geldautomaat kraken voor dummies: Cutlet Maker, malwarekit voor amateurcriminelen

Onderzoekers van Kaspersky lab hebben malware voor geldautomaten ontdekt die openlijk op de DarkNet-markt wordt verkocht. Cutlet Maker bestaat uit drie componenten en maakt het leegtrekken van een geldautomaat mogelijk als de aanvaller erin slaagt fysieke toegang tot de machine te krijgen. Een ‘gereedschapsset’ waarmee miljoenen kunnen worden buitgemaakt, is te koop aangeboden voor slechts 5.000 dollar, inclusief gedetailleerde gebruikershandleiding. 

De geldautomaat blijft een lucratief doelwit voor fraudeurs, die verschillende methoden toepassen om grote bedragen buit te maken. Waar sommigen vertrouwen op fysieke methoden met metalen snijgereedschappen, kiezen anderen voor malware-infecties waarmee geldautomaten van binnenuit kunnen worden gemanipuleerd. Hoewel het bestaan van tools voor het hacken van geldautomaten al jaren bekend is, blijkt uit de recente ontdekking dat malwaremakers steeds meer investeren in de ontwikkeling van tools voor criminelen die technologisch minder onderlegd zijn.

Eerder dit jaar heeft een partner van Kaspersky Lab een van onze onderzoekers geholpen aan een monster van een tot dan toe onbekende tool, vermoedelijk gemaakt om pc's in geldautomaten te infecteren. Onderzoekers waren benieuwd of deze of aanverwante malware via ondergrondse fora te koop zou zijn. Een zoekactie naar de unieke artefacten van de malware was succesvol: op AlphaBay, een populaire DarkNet-spot, werd geadverteerd met ATM-malware die voldeed aan de zoekvraag, en het oorspronkelijke monster bleek deel uit te maken van een uitgebreidere commerciële malwarekit om geldautomaten leeg te halen. Een publieke post van de aanbieder bevatte niet alleen de beschrijving van de malware en hoe er aan te komen, maar ook een gedetailleerde instructie, mét video’s, waarin stap voor stap wordt uitgelegd hoe de malwarekit moet worden gebruikt.

Volgens het onderzoek bestaat de malwaretoolkit uit drie elementen:

  • Cutlet Maker-software, de hoofdmodule die verantwoordelijk is voor communicatie met de geldautomaat;
  • c0decalc, een programma om een wachtwoord te genereren voor het uitvoeren van de Cutlet Maker-applicatie, als beveiliging tegen ongeoorloofd gebruik;
  • Stimulator-applicatie, die de criminelen tijd bespaart door de status van geldcassettes vast te stellen. Door deze app te installeren, ontvangt de indringer precieze informatie over de valuta, de totale waarde en het aantal bankbiljetten in iedere cassette, zodat de cassette met het grootste bedrag kan worden geselecteerd.

De toolkit staat op een USB-device. Voor het uitvoeren van de diefstal moet dus eerst directe toegang tot het binnenste van de geldautomaat worden verkregen, omdat er een USB-poort nodig is om de malware te uploaden. Eenmaal binnen is de eerste stap de installatie van Cutlet Maker. Aangezien de software met een wachtwoord is beveiligd, wordt er met het c0decalc-programma, dat op een laptop of tablet staat, een wachtwoord gegenereerd. Dit wachtwoord dient als een soort auteursrechtelijke bescherming, om te voorkomen dat andere criminelen de applicatie gratis gebruiken. De gegenereerde code wordt ingevoerd via de interface van Cutler Maker om het geldverwijderingsproces te starten.

Cutlet Maker is te koop sinds 27 maart 2017, maar onderzoekers hebben vastgesteld dat de oerversie van het programma al in juni 2016 op de radar van de beveiligingscommunity verscheen, op een openbare multiscannerservice in Oekraïne en later ook in andere landen. Het is onduidelijk of de malware daadwerkelijk is gebruikt bij aanvallen, maar de richtlijnen bij de malwarekit bevatten video's die door de makers worden gepresenteerd als bewijs van het effect van de malware in de praktijk.

Het is niet bekend wie er achter deze malware zitten. Potentiële verkopers, taal, grammatica en stilistische fouten suggereren dat Engels niet de moedertaal van de makers is.

  • Jornt-van-der-Wiel_Officieel_medium-200x300 Jornt van der Wiel
  • "Cutlet Maker vraagt nagenoeg geen professionele computerkennis of -vaardigheden van de gebruiker”, zegt Jornt van der Wiel, security researcher bij Kaspersky Lab Benelux. “De toolkit verandert geldautomaten hacken van een geavanceerde cyberoperatie in een illegale manier om geld te verdienen voor iedereen die een paar duizend dollar heeft om in de malware te investeren. Dit kan uitgroeien tot een grote bedreiging voor financiële organisaties. Maar wat nog belangrijker is, is dat Cutlet Maker samenwerkt met de software en hardware van de geldautomaten en vrijwel geen beveiligingsbelemmering tegenkomt. Dit moet worden aangepakt om geldautomaten weerbaar te maken."
  • Om geldautomaten te beveiligen tegen aanvallen met tools als Cutlet Maker, en om betrouwbare fysieke beveiliging te bieden, adviseren specialisten van Kaspersky Lab de beveiligingsteams van financiële organisaties het volgende:
  • Implementeer strikt default-deny-beleid dat ongeautoriseerde software op geldautomaten voorkomt;
  • Schakel de besturingsmechanismen van het apparaat in om verbinding van onbevoegde apparaten beperken;
  • Gebruik een op maat gemaakte beveiligingsoplossing om geldautomaten te beschermen tegen aanvallen van malware als Cutlet Maker.

Voor betere geldautomaatbeveiliging adviseert Kaspersky Lab ook om een goede beveiligingsoplossing te gebruiken, zoals Kaspersky Embedded Systems Security.

De producten van Kaspersky Lab detecteren en blokkeren de malware van Cutlet Maker.

Lees ook
Nieuwe versies FinSpy spionagesoftware in omloop

Nieuwe versies FinSpy spionagesoftware in omloop

Kaspersky-experts hebben nieuwe versies ontdekt van de geavanceerde kwaadaardige spionagetool FinSpy. Deze varianten werken op iOS en Android-apparatuur en zijn in staat activiteiten te volgen van zo goed als alle populaire berichtendiensten ondanks versleuteling. De nieuwe FinSpy versies wissen bovendien hun sporen beter uit dan vorige versies. Zo...

Mac-malware en webapplicatie-exploits winnen aan populariteit

Mac-malware en webapplicatie-exploits winnen aan populariteit

De dreiging van malware groeit, zo blijkt uit de nieuwste editie van het Internet Security Report van WatchGuard Technologies. De securityspecialist detecteerde in het eerste kwartaal van 2019 maar liefst 62 procent meer malware dan in het kwartaal daarvoor. Cybercriminelen maken gebruik van een breed scala aan aanvalstechnieken, waaronder schadelijke...

G DATA ziet explosieve toename van Emotet malware

G DATA ziet explosieve toename van Emotet malware

Eerste halfjaar van 2019 zijn meer varianten waargenomen dan in heel 2018  G DATA kondigt aan dat het een explosieve toename ziet van Emotet malware. De onderzoekers van G DATA SecurityLab namen het afgelopen halfjaar meer varianten van de malware waar dan in heel 2018. In het eerste halfjaar van 2019 zag G DATA SecurityLab maar liefst 33.000 varianten,...