Prima pagină:

PDF
Descarcă »

Caricatura zilei:

PDF


Anunturi Publicitare Online
Sondaj:

Poate face fata sistemul de urgenta din Romania unui cutremur asemanator celui din 1977?

DA - Comentati ca sa explicati
NU- Comentati ca sa explicati
NU STIU/ NU RASPUND

Comentarii (26) »
Sondaje vechi »

Contact:

Adresa:
Str. Cristian Popisteanu nr. 2-4
Sector 1, Bucuresti
Telefon/Fax:
021.527.19.13
0758.256.441
E-mail:
[email protected] national.ro

[email protected] national.ro




« Alte articole din categoria IT&C

Atacurile „fileless” sau cum poate fi jefuit un bancomat fără nicio urmă

IT&C



Data adaugarii: 2017-04-06

Versiunea pentru tiparire
Trimite prin e-mail

Marimea textului:

Experţii Kaspersky Lab reconstituie un caz de fraudă „ATMitch” şi descoperă o modalitate misterioasă de a încasa bani de la ATM-uri: infractorii au folosit in-memory malware ca să infecteze reţelele băncilor

 Într-o zi, angajaţii unei bănci au găsit un ATM gol: nu mai exista niciun ban, nici nu se vedeau urmele vreunei interacţiuni fizice cu dispozitivul sau ale vreunui program malware. După ce experţii Kaspersky Lab au analizat acest caz misterios, ei au reuşit să înţeleagă instrumentele infractorilor cibernetici folosite în jaf şi să reproducă ei înşişi atacul, descoperind o breşă de securitate în cadrul băncii.

În februarie 2017, Kaspersky Lab a publicat rezultatele investigaţiei asupra misterioaselor atacuri fără niciun fişier („fileless”) împotriva băncilor: infractorii au folosit in-memory malware ca să infecteze reţelele băncilor.

Investigaţia a început după ce specialiştii băncii au recuperat şi distribuit către Kaspersky Lab două fişiere conţinând înregistrări malware de pe hard drive-ul ATM-urilor (kl.txt şi logfile.txt). Acestea au fost singurele fişiere rămase în urma atacului. Nu a fost posibilă recuperarea malware-ului, deoarece, după efectuarea jafului, infractorii l-au şters. Dar chiar şi această cantitate infimă s-a dovedit suficientă pentru o investigaţie de succes.

 Ştergere/derulare

Printre fişierele-jurnal, experţii Kaspersky Lab au reuşit să identifice fragmente de informaţii în plain text care i-au ajutat să creeze o regulă Yara şi să găsească o mostră. Regulile Yara - simplificat, şiruri de caractere de căutare - îi ajută pe analişti să găsească, să grupeze, să clasifice mostre de malware similare şi să creeze conexiuni între ele. Acestea se bazează pe tipare de activitate suspecte în cadrul unor sisteme sau reţele ce prezintă similitudini.

După o zi de aşteptare, experţii au găsit o mostră de malware: „tv.dll” sau „ATMitch”, cum a fost denumită mai târziu. Aceasta a fost detectată de două ori: o dată în Kazahstan şi o dată în Rusia.

Stiri similare:

» Atacurile „fileless” sau cum poate fi jefuit un bancomat fără nicio urmă
» Ministrul PSD al Sanatatii confirma ce spunea ministrul tehnocrat: Nu se poate inca face transplant pulmonar. Vlad Voiculescu fusese asasinat mediatic in campania electorala pe acest subiect
» Politia britanica afirma ca nu exista nicio dovada privind legaturi intre autorul atentatului din Londra si grupari islamiste



Programul malware este instalat de la distanţă şi pus în executare pe un bancomat al băncii vizate, care este administrat remote. După ce este instalat şi conectat la ATM, malware-ul „ATMitch”  comunică cu bancomatul ca şi cum ar fi un program legitim. Acest lucru face posibil ca atacatorii să pună în aplicare o listă de comenzi, cum ar fi să colecteze informaţii despre numărul bancnotelor din ATM-uri. Mai mult, le permite infractorilor să retragă bani la orice oră, doar prin atingerea unui buton.

În general, infractorii încep prin a afla informaţii despre suma de bani pe care un aparat o are. După aceasta, un infractor poate să trimită o comandă pentru a scoate orice număr de bancnote, de la orice bancomat. După ce retrag banii în acest mod, infractorii nu mai trebuie decât să îi ia şi să plece. Un jaf de acest gen la un ATM durează doar câteva secunde.

O dată ce un ATM este jefuit, malware-ul îi şterge urmele.

 Încă nu se ştie cine este în spatele atacurilor. Utilizarea exploit-urilor open source, a utilitarelor din Windows şi a domeniilor necunoscute, în timpul primei etape a operaţiunii, face aproape imposibilă aflarea grupului responsabil. Însă „tv.dll”, folosit în faza ATM a atacului, conţine elemente de limbă rusă, iar grupurile cunoscute care par să corespundă acestui profil sunt GCMAN şi Carbanak.

„S-ar putea ca atacatorii să fie activi încă, dar nu vă îngrijoraţi! Combaterea acestor tipuri de atacuri necesită anumite cunoştinţe din partea specialiştilor în securitate care protejează organizaţia vizată”, spune Sergei Golovanov, Principal Security Researcher la Kaspersky Lab. „O breşă reuşită şi extragerea informaţiilor dintr-o reţea pot să fie efectuate doar cu instrumente comune şi legitime; după atac, infractorii pot să şteargă toate informaţiile care ar conduce la detectarea lor şi să nu lase nicio urmă. Pentru a răspunde acestor probleme, analiza memoriei devine o parte critică din analiza malware-ului şi a funcţiilor sale. Şi, aşa cum dovedeşte cazul nostru, un răspuns eficient la incident poate să contribuie chiar şi la rezolvarea unei infracţiuni cibernetice aparent perfecte”.
 
  • Currently nan/5
  • 1
  • 2
  • 3
  • 4
  • 5
Noteaza articolul.

 



Comentarii

Curierul National nu este responsabilă juridic pentru conţinutul textelor de mai jos. Responsabilitatea pentru mesajele dumneavoastră vă revine în exclusivitate.

    Adauga comentariul tau:
    * Nume: Email:

    * Mesaj:

    caractere rămase.

    Câmpurile notate cu * sunt obligatorii. Adresa de e-mail nu va fi publicată pe site. Mesajele sunt citite de redactorii Curierul National şi pot fi publicate in ziar.


    Recomandat Curierul National
    Ultimele comentarii:

    de ce nu cu 130%, 300% sau 3000%?! ...
    Camera: Comisiile de specialitate au aprobat marirea salariilor primarilor si viceprimarilor cu 30%

    daca n-au avut mamaliga vartoasa! ...
    Cele mai mari cinci universitati din Romania avertizeaza in legatura cu "derapajele" din Educatie

    de ce nu-l cheama la procuratura, sa ”verse” t ...
    Dan Andronic: Întâlnirea din noaptea alegerilor din 2009 a fost "o celulă de criză". Coldea și Kovesi ar fi venit la invitație lui George Maior

    daca nu era penala, o mai numea?! ...
    Gabriela Firea a numit la conducerea Spitalului Colentina o persoană cu probleme legale: "Au fost eliberate rețete fictive. Voi sesiza DIICOT"

    n-ar putea sa-i revoce suspendarea?! ...
    Instanta suprema decide daca admite contestatia la executare a lui Liviu Dragnea in dosarul "Referendumul"

    Top articole:

    Afişează articolele cele mai:
    Votate | Comentate | Expediate

    Radio Sud

    Alege TV

    Tipografia de Sud
    Orologia Primo minuto

    Sumarul ediţiei: