Kaspersky Lab und Interpol warnen vor Geldautomaten-Manipulation

Schadcode Tyupkin infiziert Auszahlungsterminals

| Redakteur: Stephan Augsten

Mit der Backdoor Tyupkin ist es möglich, Geldkassetten an Auszahlungsterminals zu plündern.
Mit der Backdoor Tyupkin ist es möglich, Geldkassetten an Auszahlungsterminals zu plündern. (Bild: Kaspersky Lab)

Wer Geldautomaten plündern wollte, der konnte bisher zwischen roher Gewalt oder Skimming-Hardware wählen. Nun haben Cyber-Kriminelle einen Schadcode entwickelt, der direkt den Auszahlungsterminal manipuliert. Kaspersky Lab hat die Malware namens „Tyupkin“ im Auftrag eines Finanzinstituts forensisch untersucht.

Offenbar haben Cyber-Kriminelle weltweit Geldautomaten angegriffen und Bargeld in Millionenhöe erbeutet. Zu diesem Schluss kommtdas Kaspersky Lab Global Research and Analysis Team (GReAT) nach einer forensischen Analyse der Schadsoftware „Tyupkin“, die auf Geldautomaten gefunden wurde.

Der Angriff läuft in zwei Phasen ab. Zunächst verschaffen sich Kriminelle einen direkten Zugriff auf die Hardware des Geldautomaten. Über eine bootfähige CD wird anschließend die Tyupkin“-Backdoor installiert. Nachdem das System neu gestartet wurde, haben die Angreifer volle Kontrolle über den infizierten Terminal.

War die Infektion erfolgreich, dann initiiert die Malware laut Kaspersky Lab eine Endlosschleife und wartet auf Befehle. Um die Manipulation zu verschleiern, ist „Tyupkin“ darauf ausgelegt, Befehle nur zu bestimmten Zeiten anzunehmen – in der Regel Sonntag- und Montagnacht. Überwachungskameras haben im Video festgehalten, wie die Kriminellen anschließend vorgingen.

Für jede „Sitzung“ wird zunächst eine einzigartige Kombination aus zufälligen Zahlen generiert, um sicherzustellen, dass keine fremde Person versehentlich von dem Betrug profitiert. Der Täter, der den Diebstahl ausführt, erhält seine Anweisungen per Telefon von einem anderen Mitglied der kriminellen Bande.

Der Operator generiert auf Basis der angezeigten Nummern einen Schlüssel für die jeweilige Sitzung. Dies soll sicherstellen, dass die Diebe nicht im Alleingang handeln. Wenn der Schlüssel korrekt eingegeben wurde, zeigt der Geldautomat an, wie viel Bargeld in jeder Geldkassette verfügbar ist. Nach Wahl einer Kassette wird diese um 40 Banknoten erleichtert.

Die Schadsoftware wurde von Kaspersky Lab als Backdoor.MSIL.Tyupkin identifiziert und benannt. Sie wurde bisher in Geldautomaten in Europa, Lateinamerika und Asien entdeckt. Interpol hat die betroffenen Mitgliedstaaten gewarnt und unterstützt laut Kaspersky die laufenden Ermittlungen. Weitere Informationen zu der Attacke finden sich im Kaspersky-Blog Securelist.com.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42994255 / Malware)