Articles

Malware, die Bargeld aus Geldautomaten spuckt, hat sich auf der ganzen Welt verbreitet

An einem späten Novembermorgen in Freiburg bemerkte ein Bankangestellter um 10 Uhr, dass etwas mit einem Bankautomaten nicht stimmte.Es war mit einem Stück Malware namens „Cutlet Maker“ gehackt worden, das entworfen wurde, um Geldautomaten dazu zu bringen, das ganze Geld in ihnen auszuwerfen, so ein Strafverfolgungsbeamter, der mit dem Fall vertraut ist.

„Ho-ho-ho! Lass uns heute ein paar Schnitzel machen!“ Cutlet Maker Bedienfeld liest, neben Cartoon-Bilder von einem Koch und einem jubelnden Stück Fleisch. In einem scheinbaren russischen Wortspiel bedeutet ein Schnitzel nicht nur ein Stück Fleisch, sondern auch ein Bündel Geld.

Werbung

Eine gemeinsame Untersuchung von Motherboard und dem Bayerischen Rundfunk (BR) hat neue Details über eine Flut von sogenannten „Jackpotting“ -Angriffen auf Geldautomaten in Deutschland im Jahr 2017 aufgedeckt, bei denen Diebe mit mehr als eine Million Euro. Jackpotting ist eine Technik, bei der Cyberkriminelle Malware oder Hardware verwenden, um einen Geldautomaten dazu zu bringen, sein gesamtes Bargeld auszuwerfen, ohne dass eine gestohlene Kreditkarte erforderlich ist. Hacker installieren die Malware normalerweise auf einem Geldautomaten, indem sie ein Bedienfeld am Gerät physisch öffnen, um einen USB-Anschluss freizulegen.

In einigen Fällen haben wir die betroffenen Banken und Geldautomatenhersteller identifiziert. Obwohl eine europäische Non-Profit-sagte Jackpotting Angriffe in der Region in der ersten Hälfte dieses Jahres zurückgegangen, mehrere Quellen sagten, die Zahl der Angriffe in anderen Teilen der Welt gestiegen ist. Zu den betroffenen Regionen gehören die USA, Lateinamerika und Südostasien, und das Problem betrifft Banken und Geldautomatenhersteller in der gesamten Finanzbranche.“Die USA sind sehr beliebt“, sagte eine mit ATM-Angriffen vertraute Quelle. Motherboard und BR gewährten mehreren Quellen, einschließlich Strafverfolgungsbeamten, Anonymität, um offener über sensible Hacking-Vorfälle zu sprechen.

Ein Screenshot des Bedienfelds des Schnitzelherstellers. Bild: Twitter-Account von @CryptoInsane

*

Während der jährlichen Black Hat Cybersecurity Conference im Jahr 2010 demonstrierte der verstorbene Forscher Barnaby Jack live auf der Bühne seine eigene ATM-Malware. Das Publikum brach in Applaus aus, als der Geldautomat das Wort „JACKPOT“ anzeigte und einen stetigen Strom von Banknoten ausstieß.

Werbung

Jetzt wurden ähnliche Angriffe in freier Wildbahn eingesetzt.

In diesem ersten Fall wurde kein Bargeld gestohlen, sagte der Strafverfolgungsbeamte. Aber Christoph Hebbecker, ein Staatsanwalt für das deutsche Bundesland Nordrhein-Westfalen, sagte, sein Büro untersucht 10 Vorfälle, die zwischen Februar und November 2017 stattfanden, einschließlich Angriffe, bei denen Diebe mit Geldbündeln davonkamen. Insgesamt stahlen Hacker 1,4 Millionen Euro (1,5 Millionen US-Dollar), sagte Hebbecker.

Hebbecker fügte hinzu, dass er aufgrund der ähnlichen Natur der Angriffe glaubt, dass sie alle mit derselben kriminellen Bande verbunden sind. In einigen Fällen haben die Staatsanwälte Videobeweise, aber sie haben bisher keine Verdächtigen, fügten sie hinzu.

„Die Ermittlungen dauern noch an“, sagte Hebbecker in einer E-Mail auf Deutsch.Mehrere Quellen sagten, dass eine Reihe von 2017-Angriffen in Deutschland die Bank Santander betraf; zwei Quellen sagten, dass sie speziell das Wincor 2000xe-Modell von Geldautomaten des Geldautomatenherstellers Diebold Nixdorf betrafen.

„Im Allgemeinen kommentieren wir keine dedizierten Einzelfälle“, sagte Bernd Redecker, Direktor für Unternehmenssicherheit und Fraud Management bei Diebold Nixdorf, in einem Telefonat. „Wir haben es jedoch natürlich mit unseren Kunden bei Jackpotting zu tun, und wir sind uns dieser Fälle bewusst.“ Diebold Nixdorf hat diese Geldautomaten auch an den US-Markt verkauft.

Eine Übersicht über das 2000xe-Modell von ATM. Bild: Wincor Nixdorf.Ein Santander-Sprecher sagte in einer E-Mail-Erklärung: „Der Schutz der Informationen unserer Kunden und die Integrität unseres physischen Netzwerks stehen im Mittelpunkt unseres Handelns. Unsere Experten sind in jeder Phase der Produktentwicklung und des Betriebs involviert, um Kunden und die Bank vor Betrug und Cyberbedrohungen zu schützen. Dieser Fokus auf den Schutz unserer Daten und unseres Betriebs hindert uns daran, bestimmte Sicherheitsprobleme zu kommentieren.“Beamte in Berlin gaben an, seit dem Frühjahr 2018 mindestens 36 Jackpotting-Fällen ausgesetzt gewesen zu sein, bei denen mehrere tausend Euro gestohlen wurden. Sie lehnten es ab, die verwendete Malware zu benennen.

Werbung

Insgesamt haben die Behörden laut Polizeisprechern in den vergangenen Jahren 82 Jackpotting-Angriffe in Deutschland in verschiedenen Bundesländern registriert. Allerdings führten nicht alle dieser Angriffe zu erfolgreichen Auszahlungen.

Kennen Sie andere Jackpotting-Angriffe? Wir würden uns freuen, von Ihnen zu hören. Mit einem Nicht-Arbeitstelefon oder Computer, Sie können Joseph Cox sicher auf Signal on kontaktieren +44 20 8133 5190 , Otr auf josephcox, OTR Chat auf [email protected] , oder E-Mail [email protected] .

Es ist wichtig, sich daran zu erinnern, dass ATM Jackpotting nicht auf eine einzelne Bank oder einen Geldautomatenhersteller beschränkt ist. Es ist wahrscheinlich, dass die anderen Angriffe andere Banken als Santander betrafen; das sind einfach die Angriffe, die unsere Untersuchung identifiziert hat.

„Sie werden dies bei allen Anbietern sehen; Dies ist weder einer bestimmten Maschine noch einer bestimmten Marke und definitiv keiner Region gewidmet“, sagte Redecker.

Ein Teil des Sicherheitsproblems für Geldautomaten ist, dass viele von ihnen im Wesentlichen gealterte Windows-Computer sind.“Dies sind sehr alte, langsame Maschinen“, sagte die mit ATM-Angriffen vertraute Quelle.

ATM-Hersteller haben Sicherheitsverbesserungen an ihren Geräten vorgenommen, betonte Redecker von Diebold Nixdorf. Das bedeutet jedoch nicht unbedingt, dass alle Geldautomaten in der Branche dem gleichen Standard entsprechen.

Und die Verantwortung für die Sicherung des Zugangs zu den Geldautomaten liegt auch bei den Banken.

„Um einen Jackpotting-Angriff auszuführen, müssen Sie Zugriff auf die internen Komponenten des Geldautomaten haben. Das Verhindern dieses ersten physischen Angriffs auf den Geldautomaten trägt also wesentlich dazu bei, den Jackpotting-Angriff zu verhindern „, sagte David N. Tente, Executive Director von USA, Canada & Americas bei der ATM Industry Association (ATMIA), in einer E-Mail.

Werbung

Redecker sagte, er habe seit 2012 Angriffe auf der ganzen Welt gesehen, wobei Deutschland 2014 seine ersten Jackpotting-Angriffe in Berlin erlitt.

Um die Zeit der 2017-Angriffe veröffentlichten Forscher der Cybersicherheitsfirma Kaspersky Untersuchungen, die zeigen, dass Cutlet Maker seit Mai dieses Jahres in Hacking-Foren zum Verkauf steht. Es schien, dass jeder mit ein paar tausend Dollar die Malware kaufen und selbst Jackpotting-Geldautomaten ausprobieren konnte.“Die Bösen verkaufen diese Entwicklungen an irgendjemanden“, sagte David Sancho, Senior Threat Researcher bei der Cybersicherheitsfirma Trend Micro, der mit Europol an der Jackpotting-Forschung arbeitet. Dies habe es kleineren Outfits oder unternehmungslustigen Kriminellen ermöglicht, Geldautomaten ins Visier zu nehmen, fügte er hinzu.“Potenziell kann dies jedes Land der Welt betreffen“, sagte Sancho.

Motherboard sprach mit einem Cyberkriminellen, der behauptete, die Schnitzelmacher-Malware zu verkaufen.

„Ja, ich verkaufe. Es kostet 1000 US-Dollar „, schrieben sie in einer E-Mail und fügten hinzu, dass sie auch Unterstützung bei der Verwendung des Tools anbieten können. Der Verkäufer stellte Screenshots einer Bedienungsanleitung in russischer und englischer Sprache zur Verfügung, die potenzielle Benutzer durch das Leeren eines Geldautomaten führt. In den Abschnitten des Handbuchs erfahren Sie, wie Sie überprüfen, wie viele Banknoten sich im Geldautomaten befinden, und wie Sie die Malware selbst installieren.Die European Association for Secure Transactions (EAST), eine gemeinnützige Organisation, die Finanzbetrug verfolgt, sagte in einem in diesem Monat veröffentlichten Bericht, dass die Jackpotting-Angriffe im Vergleich zum Vorjahr um 43 Prozent zurückgegangen seien. Es sollte jedoch betont werden, dass der Bericht von EAST nur Europa abdeckt. „Es passiert in Teilen der Welt, wo sie niemandem davon erzählen müssen“, fügte die mit ATM-Angriffen vertraute Quelle hinzu. „Es nimmt zu, aber das größte Problem, das wir haben, ist, dass niemand dies melden will.“

Diese Senkung der Eintrittsbarriere für ATM-Malware hat wohl zu einem gewissen Anstieg der Jackpotting-Angriffe geführt. Im Januar 2018 begann der Secret Service, Finanzinstitute vor den ersten Jackpotting-Angriffen in den USA zu warnen, obwohl diese eine andere ATM-Malware namens Ploutus verwendeten.D.“Weltweit zeigt unsere Umfrage 2019, dass Jackpotting-Angriffe zunehmen“, schrieb Tente von ATMIA in einer E-Mail.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.