盗银行账户不过瘾!——俄罗斯黑客团伙专门攻击ATM机

国外研究机构发现了一个来自俄罗斯和乌克兰的黑客团伙,该团伙专门入侵银行等金融机构并给atm机安装恶意软件,在安装恶意软件后他们可以从atm机获取大量现金。虽然美国和西欧的机构没有收到攻击,但是专家称该攻击方法可以广泛用户西方的银行。

大多数的网络金融攻击都是盗取用户银行卡里的资金或者攻击用户的网上银行。像这伙人一样专门入侵银行,然后用巧妙的方式盗走资金的实属罕见。

该团伙的成员使用Carberp木马的变种盗取了俄罗斯银行200万美元的资金,他们之中8人曾经在2012年因使用该木马盗窃而被捕,但是据说仅仅在出狱几小时后,他们又开始重新策划实施犯罪。

根据Fox-ITGroup-IB这两个机构发布的报告,这次这伙人改变了策略,不再从银行账户窃取资金,而是直接从银行的金库中盗取。根据这两个机构的调查,他们目前已经从东欧的各大银行盗取了1500多万美元。

他们的攻击手法一般是这样的:

首先利用office的漏洞给各大金融机构发送包含恶意软件的钓鱼邮件,一旦有机器中了恶意软件,他们便以此机器作为跳板渗透到银行内网。

一般他们的目标是ATM取款机,他们会修改取款机的程序,让取款机能取出更多的钞票。他们目前能修改52种不同的取款机。

报告指出,当ATM机的程序被修改后,他们取款100卢布,但出来的金额是5000卢布。

t016979b495b1eb227c.png

图为该组织修改的ATM机程序

据了解,目前该组织已经攻击了超过50家俄罗斯银行,这伙组织非常猖狂,研究人员从攻击者用于攻击内部网络的恶意程序里发现了一个字符串“LOL BANK FUCKIUNG”(中文大意:哈哈,干翻银行)。同时他们加密了邮件里的恶意软件,秘钥的MD5明文为:“go fuck yourself”(中文大意:玩儿蛋去)。这表示他们很自信,事实也确实如此,根据调查,他们攻击老练,从踩点到攻击成功他们平均只需42天。

关于这个组织的详细报告请看:这里

[via@bobao360]