O método era um completo mistério, e as únicas pistas deixadas para trás eram arquivos contendo uma única linha de texto em inglês:
"Take the money, bitch."
Tradução: pegue o dinheiro Vadia
Era rápido e furioso, e se não fosse pelas câmeras de vigilância que capturaram o roubo em ação, dois bancos na Rússia nunca saberiam o que aconteceu no ano passado, quando oito de seus caixas eletrônicos foram drenados de dinheiro - quase um milhão de dólares em rublos Uma única noite.
Quando um dos bancos entrou em contato com a firma russa de segurança cibernética Kaspersky Lab para investigar, as únicas evidências eram as gravações de CCTV mostrando um único culpado caminhando até os caixas eletrônicos e, sem sequer tocar nas máquinas, agarrando pilhas espessas de notas. Cada máquina, dispensados 40 contas de cada vez, como eles magicamente cuspir. Demorou menos de 20 minutos para limpar uma máquina seca antes que a mula de dinheiro se mudou para outros caixas eletrônicos na cidade e repetiu a cena.
O método por trás da façanha era um completo mistério. O banco não poderia encontrar nenhum malware em seus ATMs ou rede backend, e nenhum sinal de uma intrusão. Mas os atacantes deixaram inadvertidamente uma pista atrás de dois arquivos de log que registraram tudo o que ocorreu nas máquinas antes que o dinheiro desaparecesse. Os registros incluíam uma linha de texto em inglês ("Pegue a cadela do dinheiro") que acabou por ser sua ruína.
"Nossa teoria é que durante a desinstalação [do malware], algo deu errado com o malware e é por isso que os arquivos [log] foram deixados"
diz Sergey Golovanov, principal pesquisador de segurança da Kaspersky na Rússia, que investigou os assaltos.
No início deste ano, o Kaspersky informou que uma erupção de invisíveis ataques "fileless" tinha como alvo mais de 140 bancos e outros alvos na Europa, os EUA e em outros lugares, mas forneceu poucos detalhes sobre as vítimas ou o grau em que os ataques bem sucedidos.
Os ataques de malware Fileless usam as ferramentas legítimas existentes em uma máquina para que nenhum malware seja instalado no sistema ou usem malware que resida apenas na memória de acesso aleatório da máquina infectada, e não no disco rígido, para que o malware deixe Nenhuma pegada discernível uma vez que se foi.
Os dois bancos russos que foram roubados nessa única noite foram vítimas de um ataque sem arquivo e, hoje, na Cúpula de Segurança da Kaspersky Security, na ilha de St. Maartens, Golovanov revelou a história por trás dos ataques.
Golovanov disse à Motherboard em uma entrevista antes da conferência que quando ele e seus colegas examinaram os dois arquivos de log contendo o texto em inglês, eles riram da audácia. O assalto funcionou em três estágios, com os dois primeiros usando comandos que instruíram o ATM para retirar as contas armazenadas em cassetes e colocá-los em linha para ser dispensado, ea terceira fase usando um comando que abriu a boca do ATM. Foi neste momento que o comando, "Pegue a cadela dinheiro", apareceu no arquivo de log, e, possivelmente, na tela do ATM também para sinalizar o dinheiro mula para pegar as contas e ir.
O comando, "Take the money bitch", apareceu no arquivo de log, e, possivelmente, na tela do ATM, bem como para sinalizar o dinheiro mula para pegar as contas e ir.
Os arquivos de log tornaram óbvio que o banco havia sido hackeado, mas os pesquisadores precisaram de amostras do malware que havia sido encontrado nas máquinas para ver como os ladrões o tinham puxado. Assim, Golovanov e sua equipe criaram uma regra YARA para a linha de texto em inglês que encontraram nos logs - YARA é uma ferramenta que permite que os pesquisadores examinem um grande número de arquivos e redes usando uma seqüência de pesquisa - e a utilizaram para pesquisar arquivos submetidos.
VirusTotal é um site que agrega dezenas de programas antivírus em um só lugar. Pesquisadores de segurança e outros podem enviar arquivos suspeitos para o site para ver se algum dos programas os detectar como mal-intencionados. A equipe de Golovanov encontrou um jogo com dois arquivos que alguém carregou da Rússia e do Cazaquistão.
Eles inverteram o código e cavaram a rede do banco para reconstruir como o ataque ocorreu, descobrindo que os hackers construíram túneis digitais extensos em toda a rede do banco, que eles usaram para emitir comandos do PowerShell para os caixas eletrônicos. Isto permitiu que os atacantes controlassem as máquinas em tempo real quando a mula de dinheiro estava presente.
Nenhuma prisão foi feita no assalto ainda. Kaspersky acha que os culpados podem estar conectados a uma das duas gangues conhecidas de hackers do banco, conhecidas como e Carbanak.
"Poderia ser apenas uma pessoa ou duas pessoas [fazendo isso]"
diz Golovanov, observando que as imagens de CCTV pareciam mostrar a mesma pessoa extraindo dinheiro de todos os caixas eletrônicos.
Golovanov diz que rastrear ataques sem arquivos é difícil, mas não impossível.
"Para resolver estes problemas, memória forense está se tornando crítica para a análise de malware e suas funções"
observou ele em um comunicado divulgado pela Kaspersky.
"E como o nosso caso prova, uma resposta cuidadosamente dirigida incidente pode ajudar a resolver até mesmo o cibercrime perfeitamente preparado".
fonte:https://motherboard.vice.com/en_us/article/atm-hack-russia-disappearing-malware
0 comentários:
Postar um comentário