Kelompok hackermisterius baru-baru ini melancarkan serangan ke berbagai mesin ATM. Modus yang dilakukan tergolong sangat unik. Mereka berhasil menguras ATM tanpa meninggalkan jejak interaksi fisik dan tidak meninggalkan jejak malware apapun.
Pihak Kaspersy Lab mengatakan, kelompokhacker tersebut menggunakan serangan berjenis fileless yang memanfaatkan in-memory malware untuk menginfeksi jaringan perbankan.
Penyelidikan dimulai setelah spesialis forensik perbankan melakukan pemulihan dan membagikan dua file yang berisi log malware dari hard drive ATM kepada Kaspersky Lab. Kedua file ini merupakan satu-satunya file yang tersisa setelah aksi serangan karena setelah aksi perampokan penjahat siber langsung menghapusmalware.
Dalam file log tersebut, para ahli keamanan akhirnya dapat mengidentifikasi potongan informasi dalam teks biasa yang membantu mereka untuk menemukan sampel dari malware menggunakan aturan YARA.
Aturan YARA sendiri merupakan rangkaian metode penyelidikan yang membantu analis untuk menemukan, mengelompokan, dan mengkategorikan sampel malware terkait dan menarik hubungan antara mereka berdasarkan pola aktivitas yang mencurigakan pada sistem atau jaringan yang memiliki kesamaan.
Para ahli kemanan akhirnya mendapatkan sebuah sampel dari malware tersebut yang kini dinamakan dengan "ATMitch". Malware tersebut terdeteksi, sebanyak dua kali, berkeliaran secara bebas dari Kazakhstan hingga Rusia. Malware ini dipasang dan dijalankan dari jarak jauh pada ATM dari bank yang menjadi sasaran.
Setelah terpasang dan terhubung ke ATM,malware ATMitch berkomunikasi dengan ATM seolah-olah malware tersebut merupakan perangkat lunak yang sah.Malware tersebut memungkinkan penjahat untuk melakukan sejumlah perintah, seperti mengumpulkan informasi tentang jumlah uang kertas di kaset ATM.
Selain itu, memberikan penjahat kemampuan untuk mengeluarkan uang setiap saat, hanya dengan menekan satu tombol saja. Setelah ATM dirampok,malware akan menghapus jejaknya.
Hingga saat ini masih belum diketahui siapa dibalik serangan. Penggunaan kode eksploitasi open source, utilitas umum Windows dan domain yang tidak diketahui selama tahap awal serangan membuat hampir tidak mungkin untuk menentukan kelompok mana yang bertanggung jawab.
Namun, bahasa yang digunakan di malwaretersebut adalah bahasa Rusia, dan kelompok-kelompok dikenal yang bisa masuk ke dalam profil ini diantaranya kelompok hacker GCMAN dan Carbanak.
No comments:
Post a Comment