in Europa è sempre più diffuso un nuovo ceppo di malware, denominato EU ATM Malware, che prende di mira i bancomat con un’efficacia dichiarata del 99%.
Olga Osipova, Senior Application Security Specialist di Kaspersky, ha analizzato i punti salienti di questo attacco:
- Il malware è altamente efficace su numerosi bancomat dei principali produttori.
- La possibilità di prelevare fino a 30.000 dollari da un singolo bancomat rende EU ATM Malware particolarmente interessanti per i cybercriminali.
- I diversi metodi di pagamento per il malware (abbonamento, versione demo) indicano che gli sviluppatori sono organizzati e ben preparati, aumentandone potenzialmente la diffusione. La presenza di più modalità operative consente al malware di adattarsi a obiettivi e condizioni di attacco specifici.
Gli attacchi ai bancomat sono molto diffusi e redditizi, dal momento che permetto di ottenere i contanti in tempo reale. Sul dark web compaiono spesso annunci di malware o dispositivi specifici progettati per prelevare il denaro da vari sportelli bancomat. Questi annunci spesso precedono ondate di attacchi alle banche di diversi Paesi. Nel corso degli anni, i software più diffusi per ottenere denaro dagli sportelli automatici sono stati Tyupkin, Cutlet Maker, Skimer e molti altri. Nel 2015-2016, ad esempio, il modello Black Box è diventato molto popolare.
Per quanto riguarda l’attuale annuncio di EU ATM Malware, considerando la sua preseunta funzionalità multipiattaforma, si può ipotizzare che si basi su XFS, uno standard che fornisce un’API comune per la gestione dei vari moduli interni dello Sportello bancomat, indipendentemente dal produttore.
Nel corso degli anni abbiamo analizzato la sicurezza degli ATM e sviluppato una serie di strumenti per verificare la possibilità di prelevare contanti. Il primo di questi è stato sviluppato più di 10 anni fa, quando la maggior parte degli sportelli bancomat funzionava con Windows XP. Questo strumento, con piccole modifiche, funziona ancora sulle ultime versioni del sistema operativo, indipendentemente dalla piattaforma (NCR, Diebold, GRG, Hyosung, ecc.). Sfruttando le funzionalità dello standard XFS, è possibile dimostrare le vulnerabilità e le falle dei bancomat che portano al loro svuotamento. Infatti, l’erogazione del contante può essere completamente automatizzata fino al prelievo di tutto il denaro, ad eccezione dell’azione fisica di rimozione della mazzetta di banconote dall’ATM.
Il venditore dichiara un’efficacia del 99% sui bancomat europei e fino al 60% su quelli di altri Paesi, suggerendo indirettamente che il malware è stato messo a punto specificamente per i dispositivi europei.
Ciò non significa che i bancomat al di fuori dall’Europa siano sicuri. È importante ricordare che oltre ai metodi software di erogazione non autorizzata del contante, esistono anche metodi hardware. Purtroppo, in ogni analisi di sicurezza condotta da Kaspersky, anche nel 2024, viene rilevato almeno un metodo di attacco per ogni bancomat che consente il prelievo completo del contante.
Un’attenzione adeguata alla sicurezza dei dispositivi finanziari, regolari test di penetrazione e valutazioni della sicurezza degli ATM, insieme all’implementazione tempestiva di misure di correzione quando vengono riscontrate vulnerabilità, aiutano a ridurre il rischio di attacchi agli ATM e a minimizzare le perdite finanziarie e reputazionali. Il monitoraggio delle attività “clandestine” che prendono di mira una banca o un’azienda può essere realizzato attraverso servizi di cyber intelligence.
Per ulteriori informazioni è possibile organizzare un approfondimento con l’esperta di Kaspersky.
