Virustype: Virus/malware
Også kaldet: Backdoor.MSIL.Tyupkin
Tyupkin er et stykke malware, der gør det muligt for cyberkriminelle at tømme pengeautomater via direkte manipulation. Denne malware, der blev opdaget af Kaspersky Lab som Backdoor.MSIL.Tyupkin, påvirker hæveautomater fra en stor producent, der kører Microsoft Windows 32-bit.
De cyberkriminelle arbejder i to trin:
Trin 1 -Adgang og inficering
Først får de fysisk adgang til en hæveautomat og indsætter en opstartsegnet cd til at installere malware – med kodenavnet Tyupkin (Backdoor.MSIL.Tyupkin). Når hæveautomatens system genstartes, vil den inficerede hæveautomat komme under deres kontrol.
Trin 2 - Kontrol og tyveri
Den inficerede hæveautomat kører derefter i et uendeligt loop, hvor den venter på en kommando. For at gøre det sværere at identificere svindlen, accepterer Tyupkin-malware kun kommandoer på bestemte tidspunkter søndag og mandag aften. Det er i sådanne perioder, at de cyberkriminelle kan stjæle penge fra den inficerede automat.
Metode
Videooptagelser fra overvågningskameraer på inficerede hæveautomater viste den metode, der blev anvendt til at få adgang til kontanter fra automaterne. En unik kombination af cifre på en nøgle, baseret på tilfældige tal, genereres på ny ved hver session. Dette sikrer, at ingen personer uden for banden ved et tilfælde kan komme til at drage fordel af svindlen. Derefter modtager den ondsindede operatør instruktioner over telefonen fra et andet medlem af den cyberkriminelle bande, der kender algoritmen og er i stand til at generere en sessionsnøgle på baggrund af det viste tal. Dette sikrer, at fodfolkene, der indsamler kontanterne, ikke forsøger at gå enegang.
Når nøglen er indtastet korrekt, viser hæveautomaten oplysninger om, hvor mange penge, der er til rådighed i hver pengekassette, så operatøren kan vælge, hvilken kassette der skal røves. Derefter vil hæveautomaten udbetale 40 sedler ad gangen fra den valgte kassette.
Hvor har Tyupkin-virus inficeret hæveautomater?
Baseret på statistik, der er hentet fra VirusTotal, er malwareudsendelser blevet observeret fra følgende lande:
Lande, hvor Tyupkin-malware er aktiv
Se videoen Tyupkin-sikkerhedsbrud på hæveautomat