Diebold Nixdorf ถูกแรนซัมแวร์โจมตีระบบ ATM ทำให้เกิดปัญหาขัดข้องชั่วคราว

Diebold Nixdorf ผู้ให้บริการเครื่องถอนเงินอัตโนมัติ (ATM) และเทคโนโลยีการชำระเงินให้กับธนาคาร ประสบปัญหาถูกโจมตีด้วยแรนซัมแวร์ทำให้การดำเนินงานบางอย่างหยุดชะงักและการโจมตีนั้นส่งผลกระทบต่อเครือภายในข่ายขององค์กร

Diebold กล่าวว่าวันเสาร์ที่ 25 เมษายนที่ผ่านมา ทีมรักษาความปลอดภัยของบริษัทได้ค้นพบพฤติกรรมผิดปกติในเครือข่ายขององค์กรโดย Diebold ได้ทำการตอบสนองการโจมตีโดยการตัดการเชื่อมต่อระบบในเครือข่ายทันที ส่งผลกระทบต่อบริการของลูกค้ากว่า 100 รายของบริษัท

Diebold ได้ทำการการสอบสวนและระบุว่าผู้บุกรุกทำการติดตั้ง ProLock แรนซัมแวร์ซึ่งผู้เชี่ยวชาญกล่าวว่าเป็นสายพันธุ์แรนซัมแวร์เดียวกันกับ “ PwndLocker ” ซึ่งแรนซัมแวร์ที่ว่านี้ได้ทำการโจมตีเซิร์ฟเวอร์ที่ลาซาลเคาน์ตี้รัฐอิลลินอยส์ในเดือนมีนาคมที่ผ่านมา

Fabian Wosar ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Emsisoft ได้เสนอช่วยเหลือ Diebold ในการถอดรหัสไฟล์โดย Emsisoft ได้สร้างเครื่องมือเพื่อถอดรหัสและสามารถกู้คืนไฟล์ที่ ProLock โดยเฉพาะ

ทั้งนี้ผู้ที่ถูกโจมตีด้วยแรนซัมแวร์ ProLock และอยากจะกู้ไฟล์คืนสามารถเข้าไปใช้งานฟรีได้ที่ https://www.

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet

ทีมนักวิจัยด้านความปลอดภัยของธนาคารจาก Positive Technologies เปิดเผยข้อมูลการโจมตีเครื่องเอทีเอ็มโดยระบุว่าส่วนใหญ่สามารถถูกแฮ็กได้ภายในเวลาไม่ถึง 20 นาทีหรือน้อยกว่าสำหรับวิธีการโจมตีบางประเภท

ทีมนักวิจัยได้ทำการทดสอบตู้เอทีเอ็มจาก NCR, Diebold Nixdorf และ GRGBanking โดยทดลองใช้วิธีการโจมตีแบบปกติและเทคนิคการที่กลุ่มแฮกเกอร์นิยมใช้อย่าง skimming จากการทดสอบพบว่ามีตู้เอทีเอ็มประมาณ 85 เปอร์เซ็นต์ที่ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายได้ ด้วยวิธีการ Unplugging หรือ tapping ผ่านสาย Ethernet หรือด้วยการ spoofing การเชื่อมต่อ wireless หรืออุปกรณ์ที่เครื่องเอทีเอ็มเชื่อมต่ออยู่ และ 23 เปอร์เซ็นต์ของเครื่องเอทีเอ็มอาจถูกโจมตีและใช้ประโยชน์จากอุปกรณ์เครือข่ายอื่น ๆ ที่เชื่อมต่อกับเครื่องเอทีเอ็มเช่น GSM โมเด็มหรือเราท์เตอร์

นักวิจัยกล่าวว่า "การโจมตีทางเครือข่าย" โดยทั่วไปใช้เวลาไม่ถึง 15 นาทีในการโจมตี แต่นักวิจัยสามารถทำการโจมตีแบบ "Black Box" ซึ่่งใช้เวลาประมาณ 10 นาที ซึ่งใช้เวลาเร็วกว่าเดิมในการโจมตีได้ การโจมตีด้วย Black Box คือการที่แฮกเกอร์เปิดตู้เอทีเอ็มหรือทำการเจาะรูไปเพื่อเข้าถึงสายเคเบิลที่เชื่อมต่อกับคอมพิวเตอร์ของเครื่องเอทีเอ็มเพื่อให้สามารถเข้าถึงเอทีเอ็ม cash box (หรือ safe) จากนั้นผู้โจมตีจะทำการเชื่อมต่อด้วยเครื่องมือที่สร้างขึ้นเอง (custom-made tool) ที่เรียกว่า Black Box ซึ่งจะทำให้เครื่องเอทีเอ็มสามารถสั่งจ่ายเงินสดได้ตามความต้องการ โดย 69 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยงที่จะถูกโจมตีด้วยวิธีการดังกล่าวและ 16 เปอร์เซ็นต์ของเครื่องเอทีเอ็มไม่มีการป้องกันการโจมตีในลักษณะนี้

อีกหนึ่งวิธีที่นักวิจัยค้นพบคือการโจมตีโดยการลองออกจากโหมด kiosk ซึ่งเป็นโหมดของระบบปฏิบัติการที่อินเทอร์เฟซของเครื่องเอทีเอ็มทำงานอยู่ โดยการ plugging อุปกรณ์เข้ากับช่องใดช่องหนึ่งของเอทีเอ็ม อย่างเช่น USB หรือ PS/2 ทำให้เครื่องเอทีเอ็มออกจากโหมด kiosk และสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการหลักเพื่อจ่ายเงินสดออกจากเครื่องเอทีเอ็มได้ โดยใช้เวลาไม่ถึง 15 นาทีและ 76 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยง

อีกหนึ่งวิธีโจมตีที่ใช้เวลานานที่สุดแต่ได้ผลลัพท์ที่ดีที่สุดคือการ bypassed ฮาร์ดไดรฟ์ภายในตู้เอทีเอ็ม และเปลี่ยนให้ทำการบูตเข้าระบบจากภายนอก ซึ่งปกติจะใช้เวลาไม่เกิน 20 นาทีในการเปลี่ยนคำสั่งการบูตใน BIOS ใหม่โดยบูตจากฮาร์ดไดร์ของผู้โจมตีและทำการเปลี่ยนแปลงระบบปฏิบัติของเครื่องเอที่เอ็มใหม่ โดยพบว่าเครื่องเอทีเอ็มที่ทำการทดสอบ 92 เปอร์เซ็นต์สามารถถูกโจมตีด้วยวิธีดังกล่าว

นอกจากนี้นักวิจัยยังพบว่าผู้โจมตีสามารถเข้าถึงเครื่องเอทีเอ็มได้โดยทางกายภาพเพื่อทำการรีสตาร์ทและบูตเพื่อเข้าสู่ safe/debug โหมด การโจมตีใช้เวลาไม่ถึง 15 นาทีในการดำเนินการและนักวิจัยพบว่าร้อยละ 42 ของตู้เอทีเอ็มที่ทดสอบมีความเสี่ยง

และท้ายที่สุดคือนักวิจัยสามารถดักข้อมูลบัตรที่ส่งระหว่างเครื่องเอทีเอ็มและศูนย์ประมวลผลของธนาคาร ซึ่งคิดเป็น 58 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบ แต่สามารถดักจับข้อมูลบัตรขณะทำการประมวลผลภายในเครื่อง ATM ได้ 100 เปอร์เว็นต์ เช่นระหว่างการส่งข้อมูลจากเครื่องอ่านบัตรไปยังระบบปฏิบัติการของ ATM การโจมตีครั้งนี้ใช้เวลาไม่ถึง 15 นาที

ที่มา : SECURITYWEEK

หน่วยอารักขาประธานาธิบดีสหรัฐฯ (Secret Service) ได้ออกคำเตือนไปยังธนาคาร เนื่องจากพบเหตุการณ์ "ATM wiretapping" โดยบล็อกเกอร์ krebs on security ได้นำเอกสารแจ้งเตือนเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้ในการโจมตีเครื่อง ATM ดังกล่าวมาเผยแพร่
ATM wiretapping หรือ eavesdropping จะมีเทคนิคที่ซับซ้อนกว่าการโจมตีอื่นๆ แฮกเกอร์ต้องติดอุปกรณ์ skimmer ที่เครื่องอ่านบัตรเอทีเอ็ม เพื่อเก็บข้อมูลบัตร และติดกล้องเพื่อจับภาพการใส่รหัส PIN ซึ่งถือเป็นการติดตั้งที่มีความเสี่ยงและซับซ้อนในการหลีกเลี่ยงการตรวจจับ
ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า เอกสารคำเตือนนั้นอธิบายวิธีที่เป็นไปได้ในการดำเนินการโจมตีเหล่านี้อาจถูกเผยแพร่กันอย่างแพร่หลาย ซึ่งนอกจากจะทำให้ธนาคารระวังตัวขึ้นแล้ว อาจทำให้แฮกเกอร์ได้รับข้อมูลที่จำเป็นต่อการโจมตี ATM ทำให้อัตราการโจมตี ATM เพิ่มในอนาคตได้ด้วย

ผู้ที่สนใจสามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับคำเตือนดังกล่าวได้จาก https://krebsonsecurity.

ตำรวจ Rostov กำลังตามจับแฮกเกอร์ที่ขโมยเงินจำนวน 1.264 ล้านรูเบิลจากตู้ ATM

สันนิษฐานว่าในวันที่ 14 สิงหาคม แฮกเกอร์เปิดแป้นพิมพ์ pin ของ ATM เพื่อเชื่อมต่อและดึงเงินจำนวนมากออกมา สิ่งที่น่าสนใจคือการทราบเรื่องในสองสัปดาห์ต่อมา เนื่องจากแฮกเกอร์ไม่ได้ทำให้อุปกรณ์ใดใดเสียหาย

เมื่อวันที่ 29 สิงหาคมหัวหน้าแผนกรักษาความปลอดภัยของธนาคารได้ร้องเรียนต่อเจ้าหน้าที่ตำรวจและรายงานการโจรกรรมเงินจำนวนมาก ซึ่งขณะนี้แฮกเกอร์ยังไม่ถูกจับกุม

ที่มา: ehackingnews

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

ที่มา : response

นักวิจัยจาก Kaspersky Lab ได้มีการเปิดเผยข้อมูลว่าฟังก์ชันเดิมของ Prilex คือการปรับแต่ง Malware ด้วยฟังก์ชันพิเศษเพื่อขโมยข้อมูลบัตรจากระบบ POS หมายความว่าระบบ POS เมื่อติด Malware แล้วอาจถูกปรับแต่ง และทำให้บุคคลที่สามสามารถเข้ามาดักจับข้อมูลระหว่างทางได้ โดยช่วงระยะทางดังกล่าวคือตอนที่ลูกค้ามีการจ่ายเงินผ่านระบบ POS ที่ติด Malware ข้อมูลดังกล่าวจะถูกส่งไปให้กับ Hacker โดยอัตโนมัติ ในประเทศบราซิลกลุ่ม Hacker ได้มีการพัฒนาโคงสร้างของ Malware และสร้างบัตรปลอมขึ้นมา มีข้อผิดพลาดเกิดขึ้นในการพัฒนาตัว EMV( ระบบรักษาความปลอดภัยสำหรับการทำธุรกรรมทางการเงิน) ซึ่งนั่นทำให้ข้อมูลที่ผ่านกระบวนการยืนยันไม่ได้รับการยืนยัน และที่แน่ไปกว่านั้นคือบัตรปลอมเหล่านี้สามารถใช้ได้กับทุกระบบ POS ในบราซิล

นักวิจัยจาก Kaspersky Lab ระบุถึงรายละเอียดโครงสร้างตัว Prilex ว่ามี Java applet และแอพพลิเคชันชื่อว่า Daphne ซึ่งเขียนข้อมูลลงบนบัตรปลอม และจะประเมินจำนวนข้อมูลที่สามารถดึออกมาได้ Prilex ยังมีฐานข้อมูลที่เอาไว้เก็บรหัสของบัตรต่างๆ ข้อมูลจะถูกขายเป็นแพ็คเกจในบราซิล โดยปกติเมื่อมีการใช้บัตรที่ระบบ POS จะประกอบไปด้วย 4 ขั้นตอน Namely Initialization, Data Authentication, Cardholder Verification, และ Transaction มีเพียงแค่ขั้นตอนแรกและสุดท้ายที่จำเป็น สองอันตรงกลางสามารถข้ามขั้นตอนไปได้ เมื่อมีการใช้บัตรปลอมดังกล่าว ระบบ POS จะได้รับสัญญาณว่าข้ามขั้นตอน data authentication ได้ และตัวระบบไม่จำเป็นต้องมองหา Cryptographic Keys ของบัตร

Santiago Pontiroli นักวิจัยจาก Kaspersky ได้ออกมาบอกว่า Orilex ในเวลานี้เป็น Malware ที่รองรับการใช้งานของ Hacker แบบเต็มตัวเพราะมีหน้า UI ที่ออกแบบมาดี และมีไฟล์ต้นแบบในการสร้างโครงสร้างบัตรต่างๆ ทำให้กลายเป็นธุรกิจในตลาดมืด

ที่มา : hackread

นักวิจัยด้านความปลอดภัยค้นพบมัลแวร์ ATM สายพันธุ์ใหม่ชื่อ ATMii โดยมีเป้าหมายเฉพาะเครื่อง ATM ที่ทำงานบน Windows 7 และ Windows Vista เท่านั้น
เมื่อช่วงต้นปีที่ผ่านมาพบธนาคารแห่งหนึ่งถูกโจมตีจากมัลแวร์ ATMii และได้เปิดเผยรายละเอียดทางด้านเทคนิคเกี่ยวกับความสามารถของมัลแวร์ โดยนักพัฒนาอาวุโสของ Kaspersky "Konstantin Zykov" กล่าวว่ามัลแวร์ดังกล่าวไม่ซับซ้อนเท่า ATM มัลแวร์สายพันธุ์ที่ผ่านมา
ATMii ใช้ไฟล์เพียงสองไฟล์เท่านั้นคือ exe.

การคุกคามแบบ ATM จะมีความซับซ้อนขึ้นเมื่อเป้าหมายคือเครือข่ายของธนาคาร ไม่ใช่เครื่อง ATM โดยตรง

TrendMicro ได้มีการเผยแพร่บทความเกี่ยวกับความปลอดภัยของระบบ ATM เมื่อสัปดาห์ที่ผ่านมา โดยมีใจความสำคัญของบทความอยู่ที่การแจ้งเตือนผู้ดูแลระบบว่าพฤติกรรมของผู้โจมตีที่มุ่งโจมตีระบบ ATM ทางกายภาพนั้นกำลังจะเปลี่ยนไปเป็นการโจมตีผ่านทางเครือข่ายของธนาคารเพื่อควบคุมการทำงานของ ATM ต่อ

เมื่อมีการการเข้าถึงเครือข่ายของธนาคารและติดตั้ง ATM Malware อย่างสมบูรณ์นั้นหมายความว่าอาชญากรจะไม่ต้องไปที่เครื่อง ATM อีกต่อไป อย่างไรก็ตามการแทรกแซงระบบเครือข่ายจำเป็นต้องมีการลงมือปฏิบัติและความรู้ทางด้านเทคนิคมากกว่าวิธีการเข้าถึงตู้ ATM โดยทั่วไปมากขึ้น เพราะการแทรกแซงระบบนี้มาจากเข้าถึงเครือข่าย ATM จากผ่านทางเครือข่ายธนาคารหลัก

ในโครงสร้างเครือข่ายที่ดีควรแยกเครือข่าย ATM และเครือข่ายหลักของธนาคาร วิธีนี้ทำให้การถูกแทรกแซงเครือข่ายหนึ่งจะไม่ส่งผลกับอีกเครือข่ายอื่น แต่ไม่ใช่ว่าธนาคารทุกที่จะใช้การแบ่งส่วนเครือข่าย บางแห่งได้รายงานว่าถึงแม้จะเครือข่ายทั้งสองจะถูกแยกออกจากกัน แต่อาชญากรก็สามารถแอบสร้างการเชื่อมต่อภายในเครือข่ายหลักของธนาคารเพื่อเชื่อมต่อไปติดตั้ง Malware ในตู้ ATM ของธนาคาร

อาชญากรแทรกซึมเข้าไปในเครือข่ายของธนาคารโดยใช้วิธีง่ายๆในการส่ง Phishing Email ให้กับพนักงานธนาคาร เมื่อเข้ามาแล้วพวกเขาจะทำการสแกนรอบๆระบบเครือข่ายเพื่อค้นหาข้อมูลสำคัญเพื่อระบุและเข้าถึง Subnetworks รวมทั้งเครื่องเอทีเอ็ม

หนึ่งในการโจมตีเครือข่ายที่สำคัญที่สุดคือ Ripper ซึ่งเป็น ATM Malware แรกที่รู้จักกันดี Malware ดังกล่าวเป็นผู้รับผิดชอบการโจมตีเครื่อง ATM นับพันๆเครื่องในประเทศไทยในปี พ.ศ. 2559 Ripper มีความาสามารถในการ Jackpotting ทำให้สามารถจ่ายเงินสดจากเครื่อง ATM ในปริมาณมากจนถึงจุดที่เครื่องว่างเปล่า ลักษณะที่ร้ายกาจอีกอย่างหนึ่งของ Malware นี้ก็คือสามารถทำลายตนเองได้โดยการลบร่องรอยของการทำงานและทำให้การพิสูจน์ตัวตนหลังการติดเชื้อยากขึ้น

ผู้อ่านท่านใดต้องการข้อมูลเพิ่มเติมเกี่ยวกับการป้องกัน สามารถติดต่อไปที่ publicrelations@trendmicro.

จากเหตุการณ์ที่ชายชาวโรมันสองคนถูกจับกุมจากการขโมยข้อมูลบัตรเครดิตที่ร้านค้าปลีกท้องถิ่น มีการสืบสวนเพิ่มเติมพบว่าอุปกรณ์ที่ใช้ในการขโมยข้อมูล คือสายรัดข้อมือที่สามารถงอได้ ซึ่งจะทำหน้าที่รับข้อมูลมาจากตัว skimmer ที่ฝังไว้ในตู้ ATM อีกที สายรัดข้อมือดังกล่าวทำให้หัวขโมยเหล่านี้สามารถขโมยข้อมูลออกไปได้โดยไม่จำเป็นต้องไปดึงตัว skimmer ออกมาเพื่อโหลดข้อมูล skimmer ตัวใหม่นี้ถูกเรียกในชื่อ Deep insert skimmer ซึ่งจะแตกต่างกับ typical insert skimmer ตรงที่จะถูกฝังไว้ในตำแหน่งต่างๆ ซึ่งหากมองจากมุมของลูกค้าที่ด้านหน้าของตู้จะไม่เห็นตัว skimmer เลย การเอามือปิดตอนที่กดรหัสก็เป็นอีกเรื่องหนึ่งที่สำคัญ เพราะจะช่วยป้องกันเรื่องกล้องที่หัวขโมยติดไว้เพื่อดูว่ากดรหัสตัวไหนไปบ้าง

ที่มา : krebsonsecurity