Лаборатория Касперского расследовала дело о мистическом исчезновении денег из банкоматов
На момент начала расследования специалисты Лаборатории Касперского обладали всего двумя файлами, извлеченными из жесткого диска опустошенного банкомата: они содержали записи о вредоносном ПО, которым было заражено устройство. Все остальные свидетельства кибератаки злоумышленники предусмотрительно удалили. Восстановить образцы зловредов из имеющегося материла было крайне сложно. Тем не менее эксперты смогли выделить из потока текста нужную информацию и на ее основе разработали правила YARA - поисковые механизмы, которые помогают выявлять и категоризировать определенные образцы вредоносных программ и находить между ними связь, передает Kazakhstan Today.
Уже на следующий день после создания правил YARA эксперты Лаборатории Касперского нашли то, что искали, - образец вредоносного ПО, получившего название ATMitch. Анализ позволил установить, что с помощью этого зловреда были ограблены банки в России и Казахстане.
Вредоносное ПО ATMitch устанавливалось и запускалось в банкоматах удаленно из зараженной корпоративной сети банка: используемые финансовыми организациями инструменты удаленного контроля банкоматов легко позволяли это сделать. Непосредственно в банкомате зловред вел себя как легитимное ПО, выполняя вполне привычные для устройства команды и операции, например, запрашивал информацию о количестве банкнот в кассетах.
Получив контроль над банкоматом, атакующие могли снять из него деньги в любой момент буквально с помощью одного нажатия кнопки. Обычно ограбление начиналось с того, что злоумышленники запрашивали информацию о количестве денег в диспенсере. После этого киберпреступник отправлял команду на выдачу любого числа банкнот из любой кассеты. Дальше требовалось лишь подойти к банкомату, забрать деньги и исчезнуть. Весь процесс ограбления, таким образом, укладывался в считаные секунды. По окончании операции вредоносная программа самоудалялась из банкомата.
Группировка, скорее всего, до сих пор активна. Но это не повод для паники. Для того чтобы дать отпор подобным кибератакам, специалист по информационной безопасности организации-жертвы должен обладать особыми знаниями и навыками. Прежде всего нужно помнить, что атакующие применяют привычные легитимные инструменты, а после атаки старательно удаляют все следы своего присутствия в системе. Поэтому для решения проблемы нужно обратить повышенное внимание на исследование памяти, в которой чаще всего и прячется ATMitch", - рассказал на международной конференции по кибербезопасности Security Analyst Summit Сергей Голованов, ведущий антивирусный эксперт Лаборатории Касперского.
новости по теме
20 миллиардов тенге направят на помощь пострадавшим от паводков Вячеслав Ким и Михаил Ломтадзе
Астана. 17 апреля. KAZAKHSTAN TODAY - Сооснователи Kaspi.kz Вячеслав Ким и Михаил Ломтадзе перечислят 20 миллиардов тенге для помощи казахстанцам, пострадавшим при паводках. Выделенные средства будут направлены в Северо-Казахстанскую и Акмолинскую область на восстановление, покупку и строительство жилья.
Сооснователь и Председатель Совета директоров Kaspi.kz Вячеслав Ким:
Вместе со всей страной мы сопереживаем людям, которые остались без крова. Тысячи семей эвакуированы, неизвестно, когда они смогут вернуться в свои дома. В некоторых населенных пунктах вода продолжает прибывать. Эта беда никого не оставляет равнодушными. Государство, бизнес, наши граждане делают все возможное, чтобы жизнь людей в пострадавших регионах скорее наладилась. Мы со своей стороны также хотим поддержать призыв Главы государства о помощи пострадавшим и направить 20 миллиардов тенге для борьбы с последствиями паводков".
Сооснователь и Председатель правления Kaspi.kz Михаил Ломтадзе:
В пострадавших регионах живут наши любимые клиенты, партнеры, наши сотрудники. Мы с первых дней паводков постоянно находимся на связи с ними и хорошо знаем ситуацию. Мы сразу организовали сбор пожертвований в мобильном приложении Kaspi.kz и выделили средства фонду Biz Birgemiz Qazaqstan на закуп спасательной техники, амуниции, ГСМ и другую первую помощь. К сожалению, ситуация до сих пор остается бедственной в целом ряде регионов. Мы считаем своим гражданским долгом поддержать инициативу Президента и быть полезными стране в этот сложный момент".
В конце марта команда Kaspi организовала онлайн-сервис в приложении Kaspi.kz. Каждый неравнодушный казахстанец может перечислить средства фонду Biz Birgemiz Qazaqstan для помощи пострадавшим. Сама компания Kaspi.kz уже направила фонду 620 млн тенге на ремонт дорог, обеспечение работы спасательных вертолетов, закупку генераторов, насосов, надувных лодок и медикаментов. Также на прошлой неделе Вячеслав Ким уже профинансировал проект строительства 5-этажного жилого дома в Акмолинской области, и выделил средства на восстановление инфраструктуры пострадавших населенных пунктов.
Из-за конфликта на Ближнем Востоке задерживаются рейсы из Казахстана в ОАЭ
Астана. 14 апреля. KAZAKHSTAN TODAY - В связи с нестабильной геополитической обстановкой по маршруту полетов задерживаются рейсы КС 205/206 Астана - Дубай - Астана и KC897/898 Алматы - Дубай - Алматы. Предварительное время вылетов 14 апреля в 15.00, сообщает пресс-служба авиакомпании Air Astana.
Для обеспечения безопасности пассажиров и экипажей рейсы Air Astana в Дубай и Джидду будут выполняться в обход воздушного пространства Ирана.
Напомним, поздним вечером 13 апреля Иран атаковал Израиль, назвав это ответом на удар Тель-Авива по Дамаску, в результате которого погибли иранские генералы. Позднее удары нанесла ливанская группировка "Хезболла", а также хуситы, которые пользуются поддержкой Тегерана.
Взрывы прозвучали в том числе в Иерусалиме, также сирены воздушной тревоги запущены на севере и юге Израиля и над Мертвым морем.