Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuovo attacco agli ATM: “Tyupkin”

bancomat  malware  tyupkin   giovedì, 9 ottobre 2014

È stato scoperto un nuovo malware specializzato per attacchi agli ATM (Automated Teller Machine, comunemente noti come “bancomat”) che consente di prelevare contanti da conti di ignari clienti anche senza bisogno di una scheda.

Il nuovo malware, “Tyupkin“, è una backdoor che per la sua installazione richiede l’accesso fisico al sistema ATM. Il malware può essere installato su ATM che lavorano con sistema Windows a 32 bit attraverso un CD. Secondo gli esperti, la minaccia ha continuato ad evolversi nel corso degli ultimi mesi, infettando bancomat in Asia, Europa (principalmente orientale) e America Latina.

Non ci sono dettagli relativi alla banda criminale che si cela dietro gli attacchi, ma pare, secondo le dichiarazioni di Kaspersky e Interpol, siano stati già rubati “milioni di dollari” da bancomat di tutto il mondo attraverso il sofisticato malware: “negli ultimi anni, abbiamo osservato una grande ripresa degli attacchi agli ATM utilizzando dispositivi di skimming e malware. Ora stiamo vedendo la naturale evoluzione di questa minaccia con i criminali informatici che mirano direttamente alle istituzioni finanziarie. Ciò avviene infettando gli stessi bancomat o attraverso il lancio diretto di APT (Advanced Persistent Threat) contro le banche. Tyupkin è un esempio di come gli attaccanti sfruttino le carenze infrastrutturali degli ATM”.

Come funziona “Tyupkin”

Per installare la backdoor gli attaccanti hanno bisogno di inserire fisicamente un CD avviabile, contenente il malware, nel sistema dell’ATM. Una volta che la macchina viene riavviata, l’ATM è sotto il controllo della banda criminale. Il malware viene quindi eseguito in background in attesa di un comando da parte dell’attaccante. Tuttavia il malware è programmato per accettare comandi solo in momenti specifici, tipicamente la domenica e il lunedì sera, rendendosi in questo modo più difficile da rilevare. Inoltre viene prodotta una diversa chiave numerica valida per ogni singola sessione in modo che solo chi è a conoscenza dell’algoritmo di generazione abbia possibilità di accesso illegale al sistema. Questa chiave va inserita prima della visualizzazione del menu principale. “Il truffatore riceve istruzioni per telefono da un altro membro della banda, che conosce l’algoritmo ed è in grado di generare la chiave di sessione. Questo assicura che chi effettua la raccolta del denaro non possa farlo da solo”.

Quando viene inserita la corretta chiave di sessione l’ATM visualizza i dettagli di quanto denaro è disponibile nei diversi conti, invitando il truffatore a scegliere da quale conto prelevare e il numero di banconote, fino ad un massimo di 40 per volta da ogni singolo conto.

Paesi colpiti

Nel corso dell’indagine sono stati trovati più di 50 sportelli automatici di istituti bancari colpiti in Europa orientale (principalmente in Russia). Il malware sembra essersi poi diffuso anche negli Stati Uniti, India, Cina, Israele, Francia e Malesia.

La prima raccomandazione alle banche è stata quella di rivedere e rinforzare la sicurezza fisica dei loro bancomat e delle proprie infrastrutture di rete, di sostituire tutte le serrature e le chiavi master sul cofano superiore degli ATM e di cambiare la password di default del BIOS.

Notizie correlate

SUCEFUL: il primo malware per ATM multi-vendor

15 settembre 2015

I ricercatori di FireEye hanno identificato un nuovo malware in grado di attaccare ATM (bancomat) di diversi produttori.Leggi tutto