Bankomaten mittels CD mit Schadsoftware infiziert

Das IT-Sicherheitsunternehmen Kaspersky hat eine neue Form von Schadsoftware entdeckt, mit dessen Hilfe Cyberkriminelle Bankomaten leeren können. Die Malware Tyupkin wird mittels einer bootfähigen CD auf Geräte des Herstellers NCR überspielt – dies ging aus Aufnahmen einer Überwachungskamera hervor. Das CD-Laufwerk der Automaten ist meist nur mit einem einfach zu knackendem Schloss geschützt. Die Geldautomaten nutzen als Betriebssystem eine 32-Bit-Version von Windows.

Nach dem das Gerät infiziert wird, läuft die Schadsoftware in Dauerschleife. Sie akzeptiert allerdings nur am Sonntag und Montag nachts Befehle. So wollen die Cyberkriminellen sicher stellen, dass normale Kunden nicht zufällig auf die Malware stoßen und diese länger vom Service-Personal unentdeckt bleibt.

Gruppenarbeit

Um die Malware zu nutzen, wird ein bestimmter Code eingegeben. Die Codes werden von der Malware für jede Sitzung generiert. Ein Mitglied der Gruppe, das den Algorithmus kennt, gibt dem Täter den korrekten Code per Telefon durch. So wird sichergestellt, dass die Personen, die das Geld abholen, nicht im Alleingang handeln.

Ist der korrekte Code eingegeben, zeigt die Malware wie viele Geldscheine in den jeweiligen Kassetten vorhanden sind. Jetzt wählt der Täter eine Kassette aus, aus dieser 40 Scheine ausgegeben werden.

Zum Zeitpunkt der Untersuchung waren bereits über 50 Automaten in Europa, Lateinamerika und Asien infiziert. Die Cyberkriminellen sollen insgesamt bereits Geldbeträge in Millionenhöhe erbeutet haben. VirusTotal geht davon aus, dass mittlerweile auch Bankomaten in den USA, Indien und China betroffen sind.