Ripper: Geldautomaten-Malware gibt bis zu 40 Scheine aus

Sicherheitsforscher haben eine Schadsoftware entdeckt, die Geldautomaten gleich dreier Hersteller infizieren soll. Vieles deutet darauf hin, dass Kriminelle mit Hilfe der Malware in Thailand Geld im Wert von mehr als 300.000 Euro entwenden konnten.

Artikel veröffentlicht am ,
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren.
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren. (Bild: Martin Wolf/Golem.de)

Forscher der Sicherheitsfirma Fireeye haben eine neue Malware entdeckt, die Geldautomaten infiziert. Die Schadsoftware Ripper kann dabei nach Angaben der Forscher Automaten von drei weltweit aktiven Herstellern befallen. Möglicherweise wurde die Software bei einem Angriff in Thailand genutzt, bei dem eine organisierte Bande innerhalb weniger Stunden thailändische Baht im Wert von mehr als 300.000 Euro abgehoben hatte.

Angreifer brauchen physischen Zugang zu dem Gerät, um dieses zu infizieren. Über den genauen Infektionsweg gibt es noch keine Informationen, doch sie können sich bei der Malware mit speziell präparierten EMV-fähigen Karten authentifizieren. Die Schadsoftware ist in der Lage, die Statusinformationen des Geldautomaten auszulesen, um zum Beispiel festzustellen, wie viele Geldscheine einer bestimmten Sorte vorhanden sind.

Außerdem kann das Netzwerk-Interface der Automaten deaktiviert werden, um eine Intervention der Bank zu verhindern. Zudem soll das Programm in der Lage sein, forensische Spuren zu vernichten und so die Beweissicherung zu erschweren.

Authentifizierung über EMV-Chip

Entdeckt die Malware eine von den Angreifern entsprechend manipulierte Karte, kann dieser nach Ablauf eines Timers über das Pin-Feld Befehle eingeben, um Geld abzuheben. Das Limit ist auf maximal 40 Scheine egal welcher Notierung eingestellt, die höchste vom Hersteller vorgesehene Menge.

Bei einem Angriff in Thailand vergangene Woche hatte eine Gruppe illegal mehr als 12 Millionen Baht abgehoben, etwa 310.000 Euro. Fireeye sieht eine Verbindung zwischen der Malware und dem erfolgreichen Hack, da die Software unter anderem auch die bei dem Angriff verwendeten NCR-Automaten befallen könne. Außerdem sei ein Sample der Malware kurz vor dem Angriff bei Virustotal aufgetaucht, hochgeladen von einer IP-Adresse aus Thailand. Die betroffene staatliche Bank Government Savings bank (GSB) hatte als Reaktion auf den Hack mehr als 3.300 einzelnstehende Geldautomaten außer Betrieb gesetzt.

Kriminelle greifen immer häufiger die Infrastruktur von Banken direkt an und nicht mehr die Einlagen einzelner Nutzer. In Russland gelang es einer Bande, das Upstream-Zahlungsgateway von Banken zu manipulieren, in Japan wurden mehrere Millionen über manipulierte Karten einer südafrikanischen Bank abgehoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Geldautomaten
Mehr Datenklau und trotzdem weniger Schaden durch Skimming
artikel-bild
Wallet
Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
artikel-bild
Bitcoin und Ether
US-Kreditkartenunternehmen sperren Kauf von Kryptowährungen
Meistgelesen
artikel-bild
Lego-kompatibel
Klemmbaustein mit Display zeigt künstlichen Horizont
artikel-bild
I'm Back 35 im Test
Neues digitales Leben für analoge Kameras
artikel-bild
Akkutechnik
4695-Akku schafft 40 Prozent mehr Reichweite als Tesla
Kommentarübersicht
Re: Null Mitleid
M. 31. Aug 2016

Dass eigentlich ein System gibt, über das Transaktionen an Fremdautomaten im In- oder...

Re: Windows + Schnittstellen am Gerät
Lasse Bierstrom 31. Aug 2016

+1 Wieviele server (Linux) stehen offen da und werden nach Belieben mit anderem Zeugs...

Malware per Karte?
vlad_tepesch 30. Aug 2016

Gibts eigentlich Studien/Versuche/Hacks in denen den Automaten direkt per manipulierter...

Re: Wundert mich, dass da nicht viel mehr passiert...
Apfelbrot 30. Aug 2016

Aber immerhin eine USV und Wachgoldfische!

Aktuell auf der Startseite von Golem.de
CS GO mit Source 2
Das ist Valves Counter-Strike 2

Es ist offiziell: Valve stellt Counter-Strike 2 vor. Die Source-2-Engine bringt neues Gameplay und soll klassische Tickraten loswerden.

CS GO mit Source 2: Das ist Valves Counter-Strike 2
Artikel
  1. Akkutechnik: 4695-Akku schafft 40 Prozent mehr Reichweite als Tesla
    Akkutechnik
    4695-Akku schafft 40 Prozent mehr Reichweite als Tesla

    Mit herkömmlichen Fertigungsmethoden und nur 15 mm mehr Höhe baut Akkuhersteller EVE Zellen für BMW, die Teslas 4680 weit überlegen sind.

  2. Autodesign: Hyundai schwört auf physische Knöpfe und Regler
    Autodesign
    Hyundai schwört auf physische Knöpfe und Regler

    Bei Autos gibt es oft Soft-Touch-Buttons, um Kosten zu sparen, doch Hyundai findet das zu gefährlich und setzt weiter auf echte Knöpfe und Regler.

  3. Zoom, Teams, Jitsi: Videokonferenzsysteme datenschutzkonform nutzen
    Zoom, Teams, Jitsi
    Videokonferenzsysteme datenschutzkonform nutzen

    Datenschutz für Sysadmins Gerade die beliebten US-Anbieter sind bei Datenschutzbehörden gar nicht beliebt. Wir erläutern die Anforderungen an Videokonferenzsysteme.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Heute besonders viele MindStar-Tagesdeals • Gigabyte RTX 4070 Ti 880,56€ • Crucial SSD 2TB (PS5) 162,90€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Resident Evil 4 Remake 569€ • LG OLED TV -57% • Amazon Coupon-Party [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /