Geldautomaten mehrerer Hersteller stehen derzeit unter dem Risiko, von einer neu entwickelten und hoch spezialisierten Malware angegriffen zu werden. In Thailand wurden unter Einsatz des Schädlings bereits umgerechnet rund 320.000 Euro aus 21 infizierten Geräten geholt. Kurz bevor die Angreifer anfingen, Geld abzuheben, unterzogen sie die Malware einem Test. Von einer thailändischen IP-Adresse aus überprüften sie, wie die hinter VirusTotal laufenden Scanner auf den Schädling reagieren. Auch dies ermöglichte es den Sicherheitsforschern bei FireEye eine Analyse der Software vorzunehmen, die auf den Namen "Ripper" getauft wurde.
Erst einmal waren die Kriminellen aber schneller. Die staatseigene Government Savings Bank, der die betroffenen Geldautomaten gehören, musste vorübergehend alle Geräte stilllegen, die von einem bestimmten Hersteller stammten. Die Fachleute des Geldinstituts nahmen an allen fraglichen Automaten Sicherheits-Überprüfungen vor, bevor diese wieder in Betrieb gehen konnten.
Wie viele Scheine willst du?
Die Infektion eines Geldautomaten erfolgt jeweils vor Ort, indem der Angreifer eine entsprechend bestückte Karte einführt. Anschließend schlummert die Malware in dem Gerät und wartet darauf, dass jemand vorbeikommt, der sich wiederum mit einer speziellen Smartcard als legitimer Nutzer des Schadprogramms ausweisen kann. Diesem werden dann bis zu 40 Banknoten beliebiger Höhe ausgegeben.
Bei der Analyse des Codes von Ripper zeigte sich, dass dieser keineswegs eine komplette Neuentwicklung ist. Verschiedene Komponenten basierten auch auf Modulen früherer Geldautomaten-Trojaner. Wenn die Malware erst einmal beginnt, ungenehmigt Geld auszuwerfen, kann die jeweilige Bank nicht direkt eingreifen und das Ganze unterbinden. Zu seinem Schutz deaktiviert der Schädling nämlich die Netzwerkschnittstelle, so dass sich erst einmal ein Techniker zum Standort begeben muss. Da noch die Automaten zweier weiterer Hersteller befallen werden können, ist es möglich, dass in den kommenden Tagen weitere Diebstähle bekannt werden.
Quelle