Ripper: Geldautomaten-Malware gibt bis zu 40 Scheine aus

Sicherheitsforscher haben eine Schadsoftware entdeckt, die Geldautomaten gleich dreier Hersteller infizieren soll. Vieles deutet darauf hin, dass Kriminelle mit Hilfe der Malware in Thailand Geld im Wert von mehr als 300.000 Euro entwenden konnten.

Artikel veröffentlicht am ,
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren.
Kriminelle nutzen den EMV-Chip von Karten, um mit der Malware zu kommunizieren. (Bild: Martin Wolf/Golem.de)

Forscher der Sicherheitsfirma Fireeye haben eine neue Malware entdeckt, die Geldautomaten infiziert. Die Schadsoftware Ripper kann dabei nach Angaben der Forscher Automaten von drei weltweit aktiven Herstellern befallen. Möglicherweise wurde die Software bei einem Angriff in Thailand genutzt, bei dem eine organisierte Bande innerhalb weniger Stunden thailändische Baht im Wert von mehr als 300.000 Euro abgehoben hatte.

Angreifer brauchen physischen Zugang zu dem Gerät, um dieses zu infizieren. Über den genauen Infektionsweg gibt es noch keine Informationen, doch sie können sich bei der Malware mit speziell präparierten EMV-fähigen Karten authentifizieren. Die Schadsoftware ist in der Lage, die Statusinformationen des Geldautomaten auszulesen, um zum Beispiel festzustellen, wie viele Geldscheine einer bestimmten Sorte vorhanden sind.

Außerdem kann das Netzwerk-Interface der Automaten deaktiviert werden, um eine Intervention der Bank zu verhindern. Zudem soll das Programm in der Lage sein, forensische Spuren zu vernichten und so die Beweissicherung zu erschweren.

Authentifizierung über EMV-Chip

Entdeckt die Malware eine von den Angreifern entsprechend manipulierte Karte, kann dieser nach Ablauf eines Timers über das Pin-Feld Befehle eingeben, um Geld abzuheben. Das Limit ist auf maximal 40 Scheine egal welcher Notierung eingestellt, die höchste vom Hersteller vorgesehene Menge.

Bei einem Angriff in Thailand vergangene Woche hatte eine Gruppe illegal mehr als 12 Millionen Baht abgehoben, etwa 310.000 Euro. Fireeye sieht eine Verbindung zwischen der Malware und dem erfolgreichen Hack, da die Software unter anderem auch die bei dem Angriff verwendeten NCR-Automaten befallen könne. Außerdem sei ein Sample der Malware kurz vor dem Angriff bei Virustotal aufgetaucht, hochgeladen von einer IP-Adresse aus Thailand. Die betroffene staatliche Bank Government Savings bank (GSB) hatte als Reaktion auf den Hack mehr als 3.300 einzelnstehende Geldautomaten außer Betrieb gesetzt.

Kriminelle greifen immer häufiger die Infrastruktur von Banken direkt an und nicht mehr die Einlagen einzelner Nutzer. In Russland gelang es einer Bande, das Upstream-Zahlungsgateway von Banken zu manipulieren, in Japan wurden mehrere Millionen über manipulierte Karten einer südafrikanischen Bank abgehoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Geldautomaten
Mehr Datenklau und trotzdem weniger Schaden durch Skimming
artikel-bild
Wallet
Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
artikel-bild
Bitcoin und Ether
US-Kreditkartenunternehmen sperren Kauf von Kryptowährungen
Meistgelesen
artikel-bild
Deutschland-Start vor 20 Jahren
Das Mysterium von Donnie Darko
artikel-bild
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
artikel-bild
Drohendes Einfuhrverbot
Apple stoppt US-Verkauf der Apple Watch Series 9 und Ultra 2
Kommentarübersicht
Re: Null Mitleid
M. 31. Aug 2016

Dass eigentlich ein System gibt, über das Transaktionen an Fremdautomaten im In- oder...

Re: Windows + Schnittstellen am Gerät
Lasse Bierstrom 31. Aug 2016

+1 Wieviele server (Linux) stehen offen da und werden nach Belieben mit anderem Zeugs...

Malware per Karte?
vlad_tepesch 30. Aug 2016

Gibts eigentlich Studien/Versuche/Hacks in denen den Automaten direkt per manipulierter...

Re: Wundert mich, dass da nicht viel mehr passiert...
Apfelbrot 30. Aug 2016

Aber immerhin eine USV und Wachgoldfische!

Aktuell auf der Startseite von Golem.de
Drohendes Einfuhrverbot
Apple stoppt US-Verkauf der Apple Watch Series 9 und Ultra 2

Apple kommt in den USA den Behörden zuvor und nimmt die Apple Watch Series 9 und Ultra 2 aus dem Handel. Hintergrund sind Patentstreitigkeiten.

Drohendes Einfuhrverbot: Apple stoppt US-Verkauf der Apple Watch Series 9 und Ultra 2
Artikel
  1. Autonome Fahrzeuge und LLMs: Wofür KI im Militär genutzt wird
    Autonome Fahrzeuge und LLMs
    Wofür KI im Militär genutzt wird

    Hersteller von KI-Lösungen fürs Militär sind meist sehr sparsam mit Details - trotz vieler Warnungen wird künstliche Intelligenz aber für militärische Anwendungen entwickelt und bereits genutzt. Ein Einblick.
    Von Andreas Meier

  2. Energieversorgung: Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland
    Energieversorgung
    Nachfrage nach Wärmepumpen kühlt ab - außer in Deutschland

    Der Europäische Wärmepumpenverband zeigt sich wegen sinkender Absatzzahlen besorgt, aber hierzulande bleibt das Interesse groß.

  3. Whistleblower: Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
    Whistleblower
    Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen

    Wieder hat sich in den USA ein ehemals hochrangiger Militär und Beamter über Kontakte mit Aliens geäußert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus SSD 500GB 39,99€ • Nur noch kurz: 3 für 2 Games-Aktion (PS5, PS4, Xbox, PC) • Apple Week • AVM Fritz Box 7510 74,99€ • Last-Minute-Angebote bei Amazon • Avatar, AC: Mirage & The Crew Motorfest bis -50% • Xbox Series X 399€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /