Geldautomaat kraken voor dummies: Cutlet Maker, malwarekit voor amateurcriminelen

Onderzoekers van Kaspersky lab hebben malware voor geldautomaten ontdekt die openlijk op de DarkNet-markt wordt verkocht. Cutlet Maker bestaat uit drie componenten en maakt het leegtrekken van een geldautomaat mogelijk als de aanvaller erin slaagt fysieke toegang tot de machine te krijgen. Een ‘gereedschapsset’ waarmee miljoenen kunnen worden buitgemaakt, is te koop aangeboden voor slechts 5.000 dollar, inclusief gedetailleerde gebruikershandleiding. 

De geldautomaat blijft een lucratief doelwit voor fraudeurs, die verschillende methoden toepassen om grote bedragen buit te maken. Waar sommigen vertrouwen op fysieke methoden met metalen snijgereedschappen, kiezen anderen voor malware-infecties waarmee geldautomaten van binnenuit kunnen worden gemanipuleerd. Hoewel het bestaan van tools voor het hacken van geldautomaten al jaren bekend is, blijkt uit de recente ontdekking dat malwaremakers steeds meer investeren in de ontwikkeling van tools voor criminelen die technologisch minder onderlegd zijn.

Eerder dit jaar heeft een partner van Kaspersky Lab een van onze onderzoekers geholpen aan een monster van een tot dan toe onbekende tool, vermoedelijk gemaakt om pc's in geldautomaten te infecteren. Onderzoekers waren benieuwd of deze of aanverwante malware via ondergrondse fora te koop zou zijn. Een zoekactie naar de unieke artefacten van de malware was succesvol: op AlphaBay, een populaire DarkNet-spot, werd geadverteerd met ATM-malware die voldeed aan de zoekvraag, en het oorspronkelijke monster bleek deel uit te maken van een uitgebreidere commerciële malwarekit om geldautomaten leeg te halen. Een publieke post van de aanbieder bevatte niet alleen de beschrijving van de malware en hoe er aan te komen, maar ook een gedetailleerde instructie, mét video’s, waarin stap voor stap wordt uitgelegd hoe de malwarekit moet worden gebruikt.

Volgens het onderzoek bestaat de malwaretoolkit uit drie elementen:

• Cutlet Maker-software, de hoofdmodule die verantwoordelijk is voor communicatie met de geldautomaat;
• c0decalc, een programma om een wachtwoord te genereren voor het uitvoeren van de Cutlet Maker-applicatie, als beveiliging tegen ongeoorloofd gebruik;
• Stimulator-applicatie, die de criminelen tijd bespaart door de status van geldcassettes vast te stellen. Door deze app te installeren, ontvangt de indringer precieze informatie over de valuta, de totale waarde en het aantal bankbiljetten in iedere cassette, zodat de cassette met het grootste bedrag kan worden geselecteerd.

De toolkit staat op een USB-device. Voor het uitvoeren van de diefstal moet dus eerst directe toegang tot het binnenste van de geldautomaat worden verkregen, omdat er een USB-poort nodig is om de malware te uploaden. Eenmaal binnen is de eerste stap de installatie van Cutlet Maker. Aangezien de software met een wachtwoord is beveiligd, wordt er met het c0decalc-programma, dat op een laptop of tablet staat, een wachtwoord gegenereerd. Dit wachtwoord dient als een soort auteursrechtelijke bescherming, om te voorkomen dat andere criminelen de applicatie gratis gebruiken. De gegenereerde code wordt ingevoerd via de interface van Cutler Maker om het geldverwijderingsproces te starten.

Cutlet Maker is te koop sinds 27 maart 2017, maar onderzoekers hebben vastgesteld dat de oerversie van het programma al in juni 2016 op de radar van de beveiligingscommunity verscheen, op een openbare multiscannerservice in Oekraïne en later ook in andere landen. Het is onduidelijk of de malware daadwerkelijk is gebruikt bij aanvallen, maar de richtlijnen bij de malwarekit bevatten video's die door de makers worden gepresenteerd als bewijs van het effect van de malware in de praktijk.

Het is niet bekend wie er achter deze malware zitten. Potentiële verkopers, taal, grammatica en stilistische fouten suggereren dat Engels niet de moedertaal van de makers is.

• Jornt van der Wiel
• "Cutlet Maker vraagt nagenoeg geen professionele computerkennis of -vaardigheden van de gebruiker”, zegt Jornt van der Wiel, security researcher bij Kaspersky Lab Benelux. “De toolkit verandert geldautomaten hacken van een geavanceerde cyberoperatie in een illegale manier om geld te verdienen voor iedereen die een paar duizend dollar heeft om in de malware te investeren. Dit kan uitgroeien tot een grote bedreiging voor financiële organisaties. Maar wat nog belangrijker is, is dat Cutlet Maker samenwerkt met de software en hardware van de geldautomaten en vrijwel geen beveiligingsbelemmering tegenkomt. Dit moet worden aangepakt om geldautomaten weerbaar te maken."
• Om geldautomaten te beveiligen tegen aanvallen met tools als Cutlet Maker, en om betrouwbare fysieke beveiliging te bieden, adviseren specialisten van Kaspersky Lab de beveiligingsteams van financiële organisaties het volgende:

• Implementeer strikt default-deny-beleid dat ongeautoriseerde software op geldautomaten voorkomt;
• Schakel de besturingsmechanismen van het apparaat in om verbinding van onbevoegde apparaten beperken;
• Gebruik een op maat gemaakte beveiligingsoplossing om geldautomaten te beschermen tegen aanvallen van malware als Cutlet Maker.

Voor betere geldautomaatbeveiliging adviseert Kaspersky Lab ook om een goede beveiligingsoplossing te gebruiken, zoals Kaspersky Embedded Systems Security.

De producten van Kaspersky Lab detecteren en blokkeren de malware van Cutlet Maker.