Un nuovo ceppo malevolo, ribattezzato EU ATM Malware, sta prendendo di mira i bancomat di tutta l’Europa: secondo il suo creatore, avrebbe un tasso di efficacia del 99% e può consentire agli attori della minaccia di prelevare fino a 30.000 euro per ogni sportello automatico.
Come si legge nell’annuncio apparso sul Dark Web, il nuovo malware è in grado di violare quasi tutti gli sportelli bancomat in Europa e circa il 60% di quelli nel resto del mondo: in particolare, EU ATM Malware può attaccare gli ATM di produttori leader come Diebold Nixdorf, Hyosung, Oki, Bank of America, NCR, GRG e Hitachi.
Caratteristiche che, se dovessero essere confermate, lo renderebbero di fatto una delle principali minacce per la sicurezza bancaria globale.
Indice degli argomenti
I dettagli di EU ATM Malware
EU ATM Malware ha dimostrato di avere più modalità operative riuscendo così ad adattarsi a obiettivi e condizioni di attacco specifici.
Secondo Olga Osipova, Senior Application Security Specialist di Kaspersky, “la presunta funzionalità multipiattaforma di EU ATM Malware lascia ipotizzare che si basi su XFS, uno standard che fornisce un’API comune per la gestione dei vari moduli interni dello sportello bancomat, indipendentemente dal produttore”.
“Sfruttando le funzionalità dello standard XFS”, continua la Security Specialist di Kaspersky, “è possibile dimostrare le vulnerabilità e le falle dei bancomat che portano al loro svuotamento. Infatti, l’erogazione del contante può essere completamente automatizzata fino al prelievo di tutto il denaro, ad eccezione dell’azione fisica di rimozione della mazzetta di banconote dall’ATM”.
Così come riportato dal sito DailyDarkweb, il malware è completamente automatizzato e questa caratteristica rende la sua implementazione e il suo funzionamento semplice ed efficiente. Ma EU ATM Malware supporta anche una modalità di funzionamento manuale, probabilmente per consentire agli attori della minaccia di effettuare configurazioni più approfondite per attacchi mirati.
La diffusione della nuova minaccia potrebbe essere agevolata anche dal fatto che EU ATM Malware viene venduto sul Dark Web con differenti metodi di pagamento, sia in versione demo con un’opzione di payload di prova valida per tre giorni sia in abbonamento mensile in cui è previsto per gli sviluppatori una quota dei profitti derivanti da operazioni di jackpotting effettuate con successo.
Ricordiamo che il cosiddetto jackpotting (un nome che, in un certo senso, richiama alla mente le slot machine dopo una vincita) si verifica quando un software dannoso viene installato sul computer di un ATM, ad esempio tramite una chiavetta USB. Questo tipo di attacco, sebbene di non facile attuazione, può indurre il bancomat a erogare tutto il contante attraverso il normale meccanismo di erogazione.
Soluzioni di mitigazione del rischio
Con la comparsa sulla scena del cyber crimine di AU ATM Malware, il settore bancario europeo, già noto per le sue rigorose misure di sicurezza, si trova ad affrontare una nuova sfida per salvaguardare la propria infrastruttura ATM da questa minaccia avanzata e pervasiva.
Una minaccia che richiede un’attenzione adeguata alla sicurezza dei dispositivi finanziari.
In particolare, aggiunge ancora Olga Osipova di Kaspersky, è importante effettuare “regolari penetration test e valutazioni della sicurezza degli ATM, insieme all’implementazione tempestiva di misure di correzione quando vengono riscontrate vulnerabilità”.
Soluzioni, queste, che aiutano a ridurre il rischio di attacchi agli ATM e a minimizzare le perdite finanziarie e reputazionali.
Molto importante, inoltre, utilizzare servizi di cyber intelligence per effettuare un monitoraggio continuo delle attività “clandestine” che prendono di mira una banca o un’azienda.
Attacchi malware agli ATM in calo, ma il rischio rimane alto
La buona notizia è che, comunque, il fenomeno degli attacchi agli sportelli ATM con i malware è per fortuna in calo. Ma non per questo bisogna abbassare la guardia.
Come ci ricorda Paolo Dal Checco, informatico forense, “Stando al rapporto European Payment Terminal Crime Report del primo trimestre del 2023, prodotto dall’associazione EGAF (Expert Group on All Terminal Fraud), gli attacchi logici – cioè tramite malware informatici – ai bancomat sono in calo, grazie alla maggiore attenzione del settore per questo tipo di problematiche”.
“Nella maggior parte dei casi rilevati”, aggiunge l’analista forense, “gli attacchi sono stati condotti tramite collegamento di dispositivi “black box” agli sportelli, per attivare l’erogazione di contante, cosa che richiede innanzitutto la presenza fisica dell’attaccante al bancomat e aumenta la possibilità d’identificazione del malfattore”.
Il rischio rimane, comunque, di rilievo. Ancora Paolo Dal Checco ci ricorda che, “come evidenzia EUROPOL in uno dei recenti report IOCTA, molti impianti sono obsoleti e poco aggiornati; inoltre, il prelievo può essere fatto non soltanto fisicamente allo sportello ma anche tramite bonifici e ricariche che non richiedono la presenza dell’attaccante allo sportello. Il tutto grazie al fatto che i terminali sono sempre più dotati di funzionalità che estendono quella della semplice erogazione di denaro. Grazie a queste nuove potenzialità, un oggetto fisico come un bancomat, progettato inizialmente per erogare contanti, può essere acceduto anche da remoto per spostare fondi e ricaricare ad esempio wallet di criptomonete tramite i quali anonimizzare poi le transazioni e impedirne lo storno”.
