Cybercriminelen hebben het afgelopen jaar in tal van Europese landen, waaronder ook Nederland, banken met malware aangevallen om zo geldautomaten op afstand geld uit te laten geven. Dat laat het Russische beveiligingsbedrijf Group IB in een nieuw rapport weten.

De aanvallen zouden zijn uitgevoerd door een groep criminelen die Cobalt wordt genoemd. In tegenstelling tot andere "jackpotting" aanvallen, zoals het aanvallen van geldautomaten wordt genoemd, vereisen de aanvallen van Cobalt geen fysieke toegang tot de machines om de malware te installeren. Om toegang te krijgen gebruiken de aanvallers spear phishingmails die van de Europese Centrale Bank, geldautomatenfabrikant Wincor Nixdorf of lokale banken afkomstig lijken.

De spear phishingmails bevatten bijlagen die misbruik van een beveiligingslek in Microsoft Office maken dat in 2015 door Microsoft werd gepatcht (CVE-2015-1641). Ook worden er zip-bestanden met daarin besmette uitvoerbare bestanden verstuurd. Volgens Group IB lijken de aanvallen van Cobalt erg op die van een andere groep internetcriminelen genaamd Buhtrap (pdf). Zodra er toegang tot het banknetwerk is verkregen worden verschillende kwetsbaarheden in Windows (CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 en CVE-2015- 2426) gebruikt om systeemrechten te krijgen en proberen de aanvallers het wachtwoord van de domeinbeheerder te stelen.

Vervolgens kunnen de aanvallers zich door het netwerk bewegen totdat ze uitkomen bij de systemen die de geldautomaten aansturen. De malware kan vervolgens de geldautomaat opdrachten geven om alle biljetten uit de geldcassettes uit te geven totdat die leeg zijn. Het geld moet vervolgens nog door iemand worden opgehaald. Volgens Group IB blijkt uit bewakingsbeelden dat de dief met een mobiele telefoon binnenkwam en een nummer belde. Vervolgens haalde hij een tas tevoorschijn om het geld dat de geldautomaat uitgaf op te vangen. Zodra de geldautomaat leeg was belde de dief opnieuw zijn handlangers en werd de geldautomaat opnieuw gestart.

Tijdens de operatie wordt informatie over het aantal uitgegeven bankbiljetten terug naar de aanvallers gestuurd. Zodra dit is gedaan wordt de malware via het Microsoft-programma SDelete van het systeem verwijderd. SDelete is een gratis tool om bestanden permanent mee te wissen. Ook worden de interne bankservers via de MBRkiller-malware gesaboteerd. Deze malware kan de Master Boot Record (MBR) van de harde schijven verwijderen, zodat het systeem niet meer opstart.

Naast Nederlandse banken zouden ook banken in Rusland, Groot-Brittannië, Spanje, Roemenië, Wit-Rusland, Polen, Estland, Bulgarije, Georgie, Moldavië, Kyrgyzstan, Armenië en Maleisië zijn aangevallen. Namen van de aangevallen banken worden niet genoemd. Wel zouden de Nederlandse banken in augustus van dit jaar zijn aangevallen.

Voorkomen

Volgens Group-IB is de belangrijkste methode om toegang tot het banknetwerk te krijgen het gebruik van phishingmails met bijlagen. Om infectie via de gebruikte Office-exploit te voorkomen is het voldoende om Microsoft Office regelmatig te patchen, aldus het beveiligingsbedrijf. De groep gebruikte geen zero day-lekken en de gebruikte exploits waren vrij oud. Sommige van de aangevallen banken zouden de beveiligingsupdates voor Office echter niet hebben geïnstalleerd.

In het geval de banken hun updates wel hadden geïnstalleerd stuurden de aanvallers zip-bestanden met daarin de malware. Dit soort aanvallen zijn ook te blokkeren, zo stelt het beveiligingsbedrijf. Hoeveel geld de criminelen hebben gestolen is onbekend.