Business Security, Schutzprogramme

Bankraub auf elegante Art

Bankraub auf elegante Art
Ohne Spuren zu hinterlassen räumen Cyberkriminelle Bankautomaten leer

Die Bankräuber kamen im aktuellen Fall weder mit Baggerschaufel noch mit Sprengsatz, um den Geldautomaten leerzuräumen. Wie im nach hinein festgestellt wurde, bedienten sich die Räuber wesentlich modernerer und eleganterer Methoden. Selbst IT-Experten gab der Raub, der keinerlei Spuren hinterlassen hatte, Rätsel auf. Lösungshinweise kamen von Kaspersky Lab, dessen Experten die Malware ATMitch hinter dem mysteriösen Angriff entdeckten.

„fileless“ Attacken

Sicherheitsexperten veröffentlichten bereits im Februar 2017 einen Bericht über sogenannte „fileless“ Attacken, also dateilose Attacken. Wie oe24.at dazu weiter berichtete, hatten Cyberkriminelle auf diese Weise Netzwerke von Banken mit im Speicher versteckter Malware angegriffen.

Der aktuelle Fall mit Einsatz von ATMitch-Malware, war schwierig zu klären, da die Cyberkriminellen nach dem Angriff alle ausführbaren Malware-Dateien gelöscht hatten. Lediglich zwei verbliebene Dateien konnten den Kaspersky-Experten zur Analyse übergeben werden. Sie enthielten die Malware-Log-Daten von der Festplatte des Geldautomaten (kl.txt und logfile.txt). Wie es weiter dazu heißt gelang es den Sicherheitsexperten Malware-Samples zu suchen und zu identifizieren. Die Untersuchung führte zu „tv.dll“  bzw. „ATMitch“ – ein Programm, das bereits zweimal – in Russland und Kasachstan – auftauchte.

Angriff aus der Ferne

Das perfide an der ATMitch-Malware ist, dass sie aus der Ferne über die bankinterne Fernwartung auf den Geldautomaten der Bank gespielt und dort ausgeführt wird. Ist ATMitch einmal installiert, kommuniziert sie mit dem Geldautomaten und den Angreifern wird es damit möglich Befehle auszuführen, und beispielsweise Informationen über die Anzahl der im Automaten enthaltenen Geldscheine zu sammeln.

Ist der Geldautomat voll erfolgt der Zugriff. Außerdem ist es den Tätern möglich, Befehle zur Ausgabe eines beliebigen Geldbetrages zu erteilen, das Geld abzugreifen und zu verschwinden. Offensichtlich alles eine Sache von Sekunden. Nicht nur die Täter verschwinden auf der Stelle auch die Malware-Spuren werden gleich gelöscht.

Hacker sind weiterhin aktiv

Wer sich hinter den Angriffen verbirgt ist noch unbekannt. So ist es der Einsatz von Open-Source-basiertem Exploit-Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich machen, die Autoren zu ermitteln. Allerding lässt die Verwendung von „tv.dll“ auf einen russischen Ursprung schließen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben