近三年ATM攻擊分析
摘要:拉丁美洲長期以來是網絡犯罪分子技術創新發展的地區,最近發現ATM MaaS項目,攻擊組織出售針對市面上主要ATM的惡意軟件。分析了過去三年來全球範圍內的數據,過去三年中被攻擊的ATM/PoS設備數量:。
針對ATM的攻擊歷史悠久,攻擊者每年都會進一步提高感染ATM系統的能力,根據2017年至2019年數據分析,2020年ATM攻擊又會有何變化?
數據分析
一次成功的ATM攻擊可以獲利數十萬美元,與傳統的金融威脅(例如網絡釣魚、欺詐網站)有所不同,ATM需要連接到公司內部網絡,同時外部任何用戶都能夠訪問它們,由此使得攻擊方法不同於傳統。
ATM還具有一些共同的特徵,這些特徵使它們特別容易受到攻擊:
供應商爲軟件提供保修服務,如果未經ATM供應商批准進行更改,則供應商不再提供保修
使用過時的操作系統及應用程序,犯罪分子可以利用未修補的漏洞獲得對內部的訪問權限
選擇人流密集的位置安放設備,但有些地方沒有任何基本的安全保護
分析了過去三年來全球範圍內的數據,過去三年中被攻擊的ATM/PoS設備數量:
2017年
2017年受攻擊設備地區分佈:
2017年受攻擊TOP10國家:
TOP10國家分佈在全球各地,其中俄羅斯數量最多。 2017年研究人員發現名爲“ ATMitch”的惡意軟件,該惡意軟件可獲得ATM的遠程訪問控制。
2018年
2018年受攻擊設備地區分佈:
2018年受攻擊TOP10國家:
2018年受攻擊國家/地區仍分佈在全球各地,與2017年相似,俄羅斯和巴西的攻擊數量最高。
受影響設備數量總體增長,出現了新的ATM惡意軟件家族:
ATMJackpot最早於2016年在臺灣出現。它感染了銀行的內部網絡,可以直接從ATM提取資金。 ATMJackpot能夠訪問數千個ATM。 WinPot於2018年初在東歐被發現,可使被感染的ATM自動轉賬。其執行與時間有關:如果目標系統的時間不在該惡意軟件預設時間(例如3月)內,WinPot會保持靜默。 Ice5起源於拉丁美洲,允許攻擊者對受感染的ATM進行操縱,最初通過USB端口傳播。 ATMTest通過控制檯訪問ATM,攻擊者必須獲得銀行網絡的遠程訪問權。 Peralta是ATM惡意軟件Ploutus的變體,導致73,258臺ATM被攻擊,損失了64,864,864.00美元。 ATMWizX於2018年秋季被發現,可使被感染的ATM自動轉賬。 ATMDtruck也出現在2018年秋天,第一批受害者在印度。它利用受感染ATM收集信息,完成克隆。
2019年
2019年受攻擊設備地區分佈:
2019年受攻擊TOP10國家:
過去的一年中,ATM/PoS惡意軟件活動最高的前十個國家保持不變,受影響設備總數再次增加。2019年春季,ATM/PoS惡意軟件活動達到新的水平。
ATMgot可通過自動提款機在ATM上直接操作,提取允許的最大數量。該惡意軟件還具有反取證技術,可從ATM刪除感染痕跡以及視頻文件。 ATMJadi起源於拉丁美洲,攻擊者必須訪問銀行網絡。
趨勢分析
ATM/PoS惡意軟件還會繼續發展,目前已經發現WinPot,它於2018年首次發現,今年仍然活躍於世界各地。
拉丁美洲長期以來是網絡犯罪分子技術創新發展的地區,最近發現ATM MaaS項目,攻擊組織出售針對市面上主要ATM的惡意軟件。表明ATM惡意軟件仍在不斷發展,網絡犯罪分子不斷開發出更好的攻擊策略。除拉丁美洲外,歐洲和APAC地區國家是攻擊者特別感興趣的國家,ATM已經成爲全球威脅。
對於金融機構而言,需要採取綜合性防禦措施:
評估攻擊媒介,生成威脅模型
更新已過時操作系統和軟件
定期進行ATM的安全評估,滲透測試,查找可能的網絡攻擊媒介
定期檢查ATM物理安全
安裝防護軟件
PoS終端有許多不同之處需要注意並加以相應處理:
PoS終端可爲攻擊者提供更大的操作空間,需要多層保護
缺少像自動取款機的外部物理保護,更容易受到未經授權的直接攻擊。
結合攻擊場景,實施文件完整性監視和日誌檢查
安裝Web網關或下一代防火牆,檢測阻止未經請求的通信
*參考來源:securelist,由Kriston編譯,轉載請註明來自FreeBuf.COM