image

Franse overheid wijst banken op cybercriminelen die geldautomaten overnemen

maandag 11 mei 2020, 09:32 door Redactie, 9 reacties

De Franse overheid wijst banken op een groep cybercriminelen die banknetwerken compromitteert en daarvandaan geldautomaten overneemt. Vervolgens worden katvangers ingezet om de geldcassettes van de automaten leeg te halen. Ook voeren de criminelen frauduleuze transacties uit via het Swift-systeem van de gecompromitteerde banken.

De groep wordt Silence genoemd en wordt verantwoordelijk gehouden voor aanvallen op banken in onder andere India, Bangladesh, Rusland, Chili, Costa Rica, Bulgarije en Ghana. Bij deze aanvallen zijn miljoenen euro's buitgemaakt. Hoewel het hier om banken gaat maakt de groep gebruik van algemeen bekende aanvalsmethodes, zo stelt het Franse Computer Emergency Response Team (CERT-FR).

De groep verstuurt e-mails naar bankmedewerkers, waarbij soms gecompromitteerde e-mailadressen van andere medewerkers worden gebruikt. De e-mails bevatten als bijlage een Word-document met een macro of exploit voor een oude kwetsbaarheid in Microsoft Office. Daarnaast versturen de aanvallers HTA- en LNK-bestanden als bijlagen.

Zodra bankmedewerkers de bijlagen openen of de macro in het Word-document toestaan, wordt er malware geïnstalleerd. Vervolgens wordt de rest van het banknetwerk gecompromitteerd waarbij de aanvallers het met name hebben voorzien op de systemen die voor internationale banktransacties worden gebruikt of de systemen waarmee banken hun geldautomaten beheren.

Zo kan de groep de opnamelimiet van geldautomaten en klanten verhogen, of ze nemen de geldautomaat volledig over. Op deze manier is het mogelijk om de geldautomaat op afstand geld uit te laten geven. Ingeschakelde katvangers staan vervolgens klaar om het geld mee of op te nemen.

CERT-FR stelt dat Silence één van de meest actieve en geraffineerde cybercrimegroepen van het moment is. De Franse overheidsinstantie merkt op dat sommige banken die slachtoffer zijn geworden het de groep makkelijker maakten door zich niet aan de PCI DSS-regels voor financiële instellingen te houden. Banken die deze regels niet volgen zijn gevoeliger voor aanvallen door de groep, maar sinds 2018 zijn banken wereldwijd door Silence aangevallen, aldus CERT-FR (pdf).

Image

Reacties (9)
11-05-2020, 09:54 door souplost
Blijkbaar is het ook voor banken (waar strenge regels gelden) te ingewikkeld om Microsoft software te patchen. Zijn er ook banken in Nederland die geen windows gebruiken?
11-05-2020, 11:15 door Anoniem
En doen moet je vooral bij deze dreigingen wereldwijd de bandbreedte vergroten. Die criminelen lachen zich wild.

Maar ja dat krijg je met een financieel gebaseerde risicoanalyse.

Het "zal wel ingecalculeerd zijn".

Lol
11-05-2020, 11:32 door Anoniem
Door souplost: Zijn er ook banken in Nederland die geen windows gebruiken?
De meeste betaalautomaten draaien Windows NT 4.0... Ben er wel eens een tegengekomen met een BSOD op een vliegveld ;)
11-05-2020, 12:09 door karma4
Door Anoniem:
Door souplost: Zijn er ook banken in Nederland die geen windows gebruiken?
De meeste betaalautomaten draaien Windows NT 4.0... Ben er wel eens een tegengekomen met een BSOD op een vliegveld ;)
Maakt weinig uit wat een endpoint draait. Het gaat om pishing waarbij userids passwords ontfutseld worden en op een andere manier worden gebruikt dan werd gedacht.

Heb je de monitoring en response niet op orde IDS IRS met de procedures wie wanneer wat gecontroleerd mag doen dan vraag je om de problemen. Swift systemen staan apart, als je iedereen op zijn blauwe ogen geloofd dan gaat het een fout.
Zo kan de groep de opnamelimiet van geldautomaten en klanten verhogen, of ze nemen de geldautomaat volledig over.
Dat gaat over backend systemen, Je kan ook 20 miljoen naar Turkije overmaken op vrijdagmiddag.
https://www.swift.com/our-solutions/interfaces-and-integration
11-05-2020, 12:17 door Anoniem
Door karma4:
Door Anoniem:
Door souplost: Zijn er ook banken in Nederland die geen windows gebruiken?
De meeste betaalautomaten draaien Windows NT 4.0... Ben er wel eens een tegengekomen met een BSOD op een vliegveld ;)
Maakt weinig uit wat een endpoint draait.
Da's niet waar.

Het gaat om pishing waarbij userids passwords ontfutseld worden en op een andere manier worden gebruikt dan werd gedacht.
Dat is slechts de eerste stap.

En de rest van je reactie is ook al apologisme, drogredenering, en zelfs whataboutism. Hou maar op, het is gewoon niet waar danwel niet relevant wat je zegt.
11-05-2020, 13:27 door Anoniem
Dat komt er van als je je netwerken niet segmenteert en je de bankautomaat gewoon vanuit je netwerk bereikbaar maakt.
11-05-2020, 14:33 door souplost
Door karma4:
Door Anoniem:
Door souplost: Zijn er ook banken in Nederland die geen windows gebruiken?
De meeste betaalautomaten draaien Windows NT 4.0... Ben er wel eens een tegengekomen met een BSOD op een vliegveld ;)
Maakt weinig uit wat een endpoint draait.
Ben benieuwd wat de kok zegt als jij stront aanbiedt.
11-05-2020, 15:17 door Anoniem
Door souplost:
Door karma4:
Door Anoniem:
Door souplost: Zijn er ook banken in Nederland die geen windows gebruiken?
De meeste betaalautomaten draaien Windows NT 4.0... Ben er wel eens een tegengekomen met een BSOD op een vliegveld ;)
Maakt weinig uit wat een endpoint draait.
Ben benieuwd wat de kok zegt als jij stront aanbiedt.

????
Beetje vreemde vergelijking volgens mij. Windows NT draait best goed, maar heeft security problemen in een moderne omgeving. Echter, de geldutomaten zitten in een volledig afgeschermde omgeving, niet rechtstreeks van buiten, en zelfs niet rechtstreeks vanaf een intern banknetwerk bereikbaar. Dus wat dat betreft niet zo'n probleem.
Dit soort systemen (de geldautomaten) reageren op opdrachten vanuit de back-end verstuurd, met encryptie en authenticatie op de aansturing.

En daarom maakt het inderdaad weinig uit wat er specifiek op de geld automaat draait, en is het voor een aanvaller daarmee zaak de back-end over te nemen: dan kan je in één keerr geerdere geldautomaten overnemen, ipv. proberen door allerlei netwerk beveiliging heen te breken om een enkel gehardened en getailored Windows systeem te hacken.

Q
11-05-2020, 22:16 door The FOSS
Door Anoniem: ... Echter, de geldutomaten zitten in een volledig afgeschermde omgeving, niet rechtstreeks van buiten, en zelfs niet rechtstreeks vanaf een intern banknetwerk bereikbaar. Dus wat dat betreft niet zo'n probleem....

Q

Toch vreemd want het artikel leest toch echt: De Franse overheid wijst banken op een groep cybercriminelen die banknetwerken compromitteert en daarvandaan geldautomaten overneemt. Dus jouw veronderstelling is niet correct, waarmee het ineens heel erg relevant wordt wat voor besturingssysteem er op een endpoint (geldautomaat) draait.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.