Tyupkin Virus (malware) | Beskyttelse af hæveautomater

VIRUSDEFINITION

Virustype: Virus/malware
Også kaldet: Backdoor.MSIL.Tyupkin

Hvad er Tyupkin?

Tyupkin er et stykke malware, der gør det muligt for cyberkriminelle at tømme pengeautomater via direkte manipulation. Denne malware, der blev opdaget af Kaspersky Lab som Backdoor.MSIL.Tyupkin, påvirker hæveautomater fra en stor producent, der kører Microsoft Windows 32-bit.

Oplysninger om virustruslen

De cyberkriminelle arbejder i to trin:

Trin 1 -Adgang og inficering

Først får de fysisk adgang til en hæveautomat og indsætter en opstartsegnet cd til at installere malware – med kodenavnet Tyupkin (Backdoor.MSIL.Tyupkin). Når hæveautomatens system genstartes, vil den inficerede hæveautomat komme under deres kontrol.

Trin 2 - Kontrol og tyveri

Den inficerede hæveautomat kører derefter i et uendeligt loop, hvor den venter på en kommando. For at gøre det sværere at identificere svindlen, accepterer Tyupkin-malware kun kommandoer på bestemte tidspunkter søndag og mandag aften. Det er i sådanne perioder, at de cyberkriminelle kan stjæle penge fra den inficerede automat.

Metode

Videooptagelser fra overvågningskameraer på inficerede hæveautomater viste den metode, der blev anvendt til at få adgang til kontanter fra automaterne. En unik kombination af cifre på en nøgle, baseret på tilfældige tal, genereres på ny ved hver session. Dette sikrer, at ingen personer uden for banden ved et tilfælde kan komme til at drage fordel af svindlen. Derefter modtager den ondsindede operatør instruktioner over telefonen fra et andet medlem af den cyberkriminelle bande, der kender algoritmen og er i stand til at generere en sessionsnøgle på baggrund af det viste tal. Dette sikrer, at fodfolkene, der indsamler kontanterne, ikke forsøger at gå enegang.

Når nøglen er indtastet korrekt, viser hæveautomaten oplysninger om, hvor mange penge, der er til rådighed i hver pengekassette, så operatøren kan vælge, hvilken kassette der skal røves. Derefter vil hæveautomaten udbetale 40 sedler ad gangen fra den valgte kassette.

Hvor har Tyupkin-virus inficeret hæveautomater?

Baseret på statistik, der er hentet fra VirusTotal, er malwareudsendelser blevet observeret fra følgende lande:

Lande, hvor Tyupkin-malware er aktiv

Råd til beskyttelse af pengeautomater for operatører/banker

• Gennemgå den fysiske sikkerhed af hæveautomaterne, og overvej at investere i sikkerhedsløsninger af høj kvalitet.
• Udskift alle låse og masternøgler på den øverste del af hæveautomaterne, og brug ikke standardnøgler/-låse fra producenten.
• Installér en alarm, og sørg for, at den er i god stand. De cyberkriminelle bag Tyupkin inficerede kun hæveautomater uden installerede alarmsystemer.
• Skift BIOS-standardadgangskoden.
• Sørg for, at automaterne har opdateret antivirusbeskyttelse

• Vær på vagt over for angreb af social manipulation fra kriminelle, der kan være forklædt som inspektører eller sikkerhedsalarmer, overvågningskameraer eller andre enheder på stedet.
• Tag indbrudsalarmer alvorligt, og handl derefter ved at underrette politiet om eventuelle brister.
• Få råd om, hvordan du kan kontrollere, at hæveautomater ikke er inficeret, ved at kontakte Kaspersky på intelreports@kaspersky.com. For at foretage en fuld scanning af hæveautomatsystemet og slette bagdøren, benyt det gratis Kaspersky Virus Removal Tool (kan downloades her).

Video: Tyupkin-sikkerhedsbrud på hæveautomat.

Se videoen Tyupkin-sikkerhedsbrud på hæveautomat

Andre artikler og links relateret til virustrusler