Hackers trekken geldautomaten leeg met behulp van malware
Hackers voeren gericht cyberaanvallen uit op geldautomaten. Door geldautomaten met malware te infecteren kunnen aanvallers de machine rechtstreeks manipuleren en volledig leegtrekken. Cybercriminelen kunnen hierdoor miljoenen euro's contant geld buitmaken. INTERPOL heeft de getroffen lidstaten gewaarschuwd en biedt assistentie bij lopende onderzoeken.
De aanvallen op geldautomaten zijn ontdekt door Kaspersky Lab, dat een forensisch onderzoek uitvoerde naar de aanvallen. De criminelen zouden vooral 's nachts opereren en uitsluitend op zondag of maandag aan het werk gaan. De aanvallers voeren een cijfercombinatie in met de toetsen van de geldautomaat, zonder eerst een betaalpas in te voeren. Door deze cijfercombinatie is het volgens Kaspersky mogelijk de machine geld uit te laten geven.
Zelfstartende cd-rom
De aanval zou uit twee fases bestaan. Eerst zouden criminelen fysiek naar een geldautomaat gaan waarmee zij met behulp van een zelfstartende cd-rom de malware installeren. Deze malware draagt de naam 'Tyupkin'. Het systeem wordt vervolgens herstart, waarna de aanvallers de controle over het systeem hebben overgenomen.
De malware blijft vervolgens actief en wacht op aanwijzigingen van de criminelen. De opdrachten worden alleen uitgevoerd op zondag- en maandagnacht, om de aanvallen zo min mogelijk te laten opvallen. De criminelen gaan op deze uren langs bij de pinautomaten en halen simpelweg het geld op.
Unieke cijfercombinatie
Uit videobeelden van de beveiligingscamera's van de geïnfecteerde geldautomaten wordt duidelijk welke methode gebruikt wordt om het geld van de automaten vrij te geven. Bij iedere sessie wordt opnieuw een unieke cijfercombinatie gegenereerd op basis van willekeurige cijfers. Hierdoor kan niemand buiten de bende per toeval profiteren van de fraude. De kwaadwillende operator ontvangt vervolgens telefonisch instructies van een ander lid uit de bende dat het algoritme kent en een sessiecode kan instellen op basis van de getoonde cijfers. Dit geeft aan dat de personen die het geld ophalen, niet alleen opereren.
Zodra de cijfercombinatie correct is ingevoerd toont de geldautomaat hoe veel geld in iedere cassette aanwezig is en wordt de operator gevraagd te kiezen uit welke cassette hij geld wil opnemen. Hierna geeft de geldautomaat 40 bankbiljetten per keer uit vanuit de gekozen cassette.
Meer over
Lees ook
Proofpoint: rechtshandhaving verstoort LockBit
Het wereldwijde rechtshandhavingsinitiatief voor het verstoren van ransomware-operaties, onder leiding van het Verenigd Koninkrijk en de Verenigde Staten, is goed nieuws voor cyberverdedigers en organisaties die nog steeds last hebben van de gevolgen van LockBit-infecties.
"Lopende campagne beïnvloedt Azure cloudomgevingen" - Proofpoint
Onderzoekers van cybersecuritybedrijf Proofpoint zien een aanhoudende cloudaccount overnamecampagne. De campagne beïnvloedt tientallen Microsoft Azure-omgevingen en honderden gebruikersaccounts. Ook brengt de campagne accounts van senior executives in gevaar.
G DATA: Agent Tesla opnieuw gearriveerd
Recente security-incidenten hebben een nieuwe variant van Agent Tesla aan het licht gebracht. Hierbij wordt een ongebruikelijk compressieformaat gebruikt om informatie te stelen: ZPAQ. Maar wat is dit precies en welk voordeel biedt het aan cybercriminelen?