Hackers trekken geldautomaten leeg met behulp van malware
Hackers voeren gericht cyberaanvallen uit op geldautomaten. Door geldautomaten met malware te infecteren kunnen aanvallers de machine rechtstreeks manipuleren en volledig leegtrekken. Cybercriminelen kunnen hierdoor miljoenen euro's contant geld buitmaken. INTERPOL heeft de getroffen lidstaten gewaarschuwd en biedt assistentie bij lopende onderzoeken.
De aanvallen op geldautomaten zijn ontdekt door Kaspersky Lab, dat een forensisch onderzoek uitvoerde naar de aanvallen. De criminelen zouden vooral 's nachts opereren en uitsluitend op zondag of maandag aan het werk gaan. De aanvallers voeren een cijfercombinatie in met de toetsen van de geldautomaat, zonder eerst een betaalpas in te voeren. Door deze cijfercombinatie is het volgens Kaspersky mogelijk de machine geld uit te laten geven.
Zelfstartende cd-rom
De aanval zou uit twee fases bestaan. Eerst zouden criminelen fysiek naar een geldautomaat gaan waarmee zij met behulp van een zelfstartende cd-rom de malware installeren. Deze malware draagt de naam 'Tyupkin'. Het systeem wordt vervolgens herstart, waarna de aanvallers de controle over het systeem hebben overgenomen.
De malware blijft vervolgens actief en wacht op aanwijzigingen van de criminelen. De opdrachten worden alleen uitgevoerd op zondag- en maandagnacht, om de aanvallen zo min mogelijk te laten opvallen. De criminelen gaan op deze uren langs bij de pinautomaten en halen simpelweg het geld op.
Unieke cijfercombinatie
Uit videobeelden van de beveiligingscamera's van de geïnfecteerde geldautomaten wordt duidelijk welke methode gebruikt wordt om het geld van de automaten vrij te geven. Bij iedere sessie wordt opnieuw een unieke cijfercombinatie gegenereerd op basis van willekeurige cijfers. Hierdoor kan niemand buiten de bende per toeval profiteren van de fraude. De kwaadwillende operator ontvangt vervolgens telefonisch instructies van een ander lid uit de bende dat het algoritme kent en een sessiecode kan instellen op basis van de getoonde cijfers. Dit geeft aan dat de personen die het geld ophalen, niet alleen opereren.
Zodra de cijfercombinatie correct is ingevoerd toont de geldautomaat hoe veel geld in iedere cassette aanwezig is en wordt de operator gevraagd te kiezen uit welke cassette hij geld wil opnemen. Hierna geeft de geldautomaat 40 bankbiljetten per keer uit vanuit de gekozen cassette.
Meer over
Lees ook
Dreigingsactoren leveren malware via YouTube
Proofpoint Emerging Threats ziet dat de aflevering van malware voor het stelen van informatie via YouTube plaatsvindt. Voorbeelden hiervan zijn Vidar, StealC en Lumma Stealer. De aflevering vindt plaats via illegale software en cracks van videogames
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers
Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.
Drie trends voor cyberaanvallen in 2024
Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.