VIRENDEFINITION
Virentyp: Virus/Malware
Auch bekannt als: Backdoor.MSIL.Tyupkin
Was ist Tyupkin?
Tyupkin ist eine Malware, mit der Geldautomaten durch direkte Manipulation von Cyberkriminellen geleert werden können. Diese Malware, die von Kaspersky Lab als Backdoor.MSIL.Tyupkin erkannt wird, betrifft Geldautomaten großer Automatenhersteller, auf denen 32-Bit-Versionen von Microsoft Windows ausgeführt werden.
Virendetails
Die Cyberkriminellen gehen in zwei Stufen vor:
Stufe 1: Zugriff und Infektion
Zunächst erlangen sie physischen Zugang zu einem Geldautomaten und legen eine bootfähige CD ein, um die Malware mit dem Codenamen Tyupkin ( Backdoor.MSIL.Tyupkin) zu installieren. Sobald der Automat neu gestartet wurde, befindet er sich unter der Kontrolle der Kriminellen.
Stufe 2: Steuerung und Diebstahl
Der infizierte Geldautomat führt eine endlose Schleife aus, in der auf einen Befehl gewartet wird. Damit der Hack schwieriger zu entdecken ist, nimmt die Tyupkin-Malware Befehle nur sonntag- und montagnachts und nur zu bestimmen Zeiten an. Und während dieser Zeiten können die Cyberkriminellen Geld vom infizierten Automaten stehlen.
Methoden
Videos von Überwachungskameras zeigen die Vorgehensweise, über die die Kriminellen Zugang zum Bargeld in den Automaten erlangen. Es wird ein eindeutiger Kombinationsschlüssel verwendet, der auf zufälligen Zahlen basiert und für jede Sitzung neu generiert wird. So wird gewährleistet, dass keine Person außerhalb der Verbrecherbande versehentlich von der Masche profitieren kann. Dann erhält der Operator der Gruppe telefonische Anweisungen von einem anderen Mitglied, das den Algorithmus kennt und basierend auf der angezeigten Nummer einen Sitzungsschlüssel generieren kann. So wird gewährleistet, dass die Geldkuriere nicht allein versuchen, das Geld einzusammeln.
Wird dieser korrekt eingegeben, zeigt der Geldautomat an, wie viel Geld in jeder seiner Bargeldkassetten vorhanden ist, sodass der Bediener gezielt auswählen kann, welche von ihnen er oder sie leerräumen möchte. Danach gibt der Automat jeweils gleichzeitig 40 Banknoten aus der gewählten Kassette aus. Wo infiziert der Tyupkin-Virus Geldautomaten?
Basierend auf Statistiken von VirusTotal stammten die Malware-Einsendungen hauptsächlich aus folgenden Ländern:
Länder, in denen die Tyupkin-Malware aktiv ist
Sicherheitstipps für Automatenbetreiber/Banken
- Überprüfen Sie die physische Sicherheit Ihrer Geldautomaten, und erwägen Sie Investitionen in hochwertige Sicherheitslösungen.
- Ersetzen Sie alle Schlösser und Hauptschlüssel der Außenhülle Ihrer Geldautomaten, und nutzen Sie unter keinen Umständen die vom Hersteller mitgelieferten Standardschlüssel.
- Installieren Sie einen Alarm, und stellen Sie sicher, dass er ordnungsgemäß funktioniert. Die Cyberkriminellen hinter Tyupkin infizierten nur Geldautomaten, bei denen keine Alarmsysteme installiert waren.
- Ändern Sie das standardmäßige BIOS-Passwort.
- Sorgen Sie für einen aktuellen Virenschutz Ihrer Geräte.
- Halten Sie Ausschau nach Social-Engineering-Angriffen durch Kriminelle, die sich als Ermittler oder als Techniker für Sicherheitsalarme, Sicherheitskameras oder andere Geräte vor Ort ausgeben.
- Nehmen Sie Eindringungsalarme ernst, und handeln Sie entsprechend durch Benachrichtigung der Strafverfolgungsbehörden über potenzielle Vorfälle.
- • Für Tipps, wie Sie sicherstellen können, dass ihre Geldautomaten noch nicht infiziert sind, wenden Sie sich an intelreports@kaspersky.com. Um einen vollständigen Scan Ihrer Geldautomaten durchzuführen und die Backdoor zu schließen, nutzen Sie das kostenlose Kaspersky Virus Removal Tool, das Sie hier) herunterladen können.
Video: Sicherheitsverletzung von Geldautomaten durch Tyupkin
Sehen Sie sich das Video zur Sicherheitsverletzung von Geldautomaten durch Tyupkin an.