Myndighederne demonterer kriminelle bande, der brugte malware til at stjæle penge fra pengeautomater.

De retshåndhævende myndigheder fra Rumænien og Republikken Moldova har brudt op en bande kriminelle, der stjal 200.000 euro fra pengeautomater i E.U. og Rusland efter at have inficeret dem med et malware-program.

Programmet blev først dokumenteret af forskere fra antivirusleverandøren Kaspersky Lab i oktober 2014 og er kendt som Tyupkin. Den kan installeres på pengeautomater, selvom en bootbar cd og tvinger maskinen til at dispensere kontant ved modtagelse af specifikke kommandoer, der indtastes via PIN-koden.

Rumænske myndigheder i denne uge arresterede otte personer, der mistænkes for at være direkte involveret i operationen. Mistanke hævdes at være koordineret med enkeltpersoner i Republikken Moldova for at identificere potentielt udsatte pengeautomater, der var i dårligt beskyttede områder og ikke indesluttet i vægge.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

De angriberne er målrettet primært maskiner fremstillet af amerikansk-baseret ATM-producent NCR, der havde en cd-rom-enhed indeni, og hvis beskyttende frontdæksler kunne åbnes let med en universel nøgle. Hvis en anti-manipulationssensor var til stede, slog angriberne det med duct tape, sagde det rumænske direktorat for efterforskning af organiseret forbrydelser og terrorisme (DIICOT).

Når de potentielle mål blev identificeret, returnerede medlemmer af banden i weekender, installeret malware fra en cd og ekstraheret kontanter fra de kompromitterede maskiner i satser på omkring $ 1.000 i lokal valuta. Efter de svigagtige tilbagetrækninger blev malware instrueret til at slette sig selv og efterlod meget få spor på maskinerne. Banden ramte pengeautomater i Rumænien, Republikken Moldova, Ungarn, Tjekkiet, Spanien og Rusland, ifølge DIICOT.

Det rumænske politi og DIICOT samarbejdede i undersøgelsen med retshåndhævende myndigheder fra Republikken Moldova og Det Forenede Kongerige. De blev også bistået af Europol og Eurojust.

Forskere fra Symantec og F-Secure analyserede et meget lignende ATM malware program dubbed Padpin, det kan faktisk være et alias for Tyupkin. I deres rapporter pegede de på, at Padpin, ligesom Tyupkin, interagerer med et bestemt Windows DLL-bibliotek, der kaldes Extension for Financial Services (XFS), der kun er til stede på pengeautomater.

Da Microsoft ikke leverer offentlig dokumentation om dette biblioteks funktioner , F-Secure forskerne spekulerede på, at malware-skaberne kunne have været hjulpet af en programmørens referencehåndbog fra NCR, der blev lækket på et kinesisk ebook-websted.

Tyupkin og Padpin er ikke de eneste ATM malware programmer, der findes af forskere. I oktober 2013 advarede sikkerhedsforskere fra Symantec sig om et ATM-bagdørprogram, der hedder Ploutus, som blev brugt til at stjæle penge i Mexico. I september sidste år fandt sikkerhedsfirma FireEye et andet ATM-malwareprogram, der hedder Suceful, hvis primære formål er at låse folks kort inden for pengeautomater og derefter frigive dem til skurke på kommando. I samme måned blev der fundet et andet malwareprogram kaldet GreenDispenser på pengeautomater i Mexico.

Angrebsteknikken, hvor malware bruges til at tvinge pengeautomater til at udlevere penge, kaldes jackpotting og er noget, som sikkerhedsforskere først demonstrerede tilbage i 2010. Med betaling kort bliver stadig vanskeligere at klone og misbruge, kan antallet af angreb, der direkte retter sig mod pengeautomater, øges.