Diebold Nixdorf ถูกแรนซัมแวร์โจมตีระบบ ATM ทำให้เกิดปัญหาขัดข้องชั่วคราว

Diebold Nixdorf ผู้ให้บริการเครื่องถอนเงินอัตโนมัติ (ATM) และเทคโนโลยีการชำระเงินให้กับธนาคาร ประสบปัญหาถูกโจมตีด้วยแรนซัมแวร์ทำให้การดำเนินงานบางอย่างหยุดชะงักและการโจมตีนั้นส่งผลกระทบต่อเครือภายในข่ายขององค์กร

Diebold กล่าวว่าวันเสาร์ที่ 25 เมษายนที่ผ่านมา ทีมรักษาความปลอดภัยของบริษัทได้ค้นพบพฤติกรรมผิดปกติในเครือข่ายขององค์กรโดย Diebold ได้ทำการตอบสนองการโจมตีโดยการตัดการเชื่อมต่อระบบในเครือข่ายทันที ส่งผลกระทบต่อบริการของลูกค้ากว่า 100 รายของบริษัท

Diebold ได้ทำการการสอบสวนและระบุว่าผู้บุกรุกทำการติดตั้ง ProLock แรนซัมแวร์ซึ่งผู้เชี่ยวชาญกล่าวว่าเป็นสายพันธุ์แรนซัมแวร์เดียวกันกับ “ PwndLocker ” ซึ่งแรนซัมแวร์ที่ว่านี้ได้ทำการโจมตีเซิร์ฟเวอร์ที่ลาซาลเคาน์ตี้รัฐอิลลินอยส์ในเดือนมีนาคมที่ผ่านมา

Fabian Wosar ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Emsisoft ได้เสนอช่วยเหลือ Diebold ในการถอดรหัสไฟล์โดย Emsisoft ได้สร้างเครื่องมือเพื่อถอดรหัสและสามารถกู้คืนไฟล์ที่ ProLock โดยเฉพาะ

ทั้งนี้ผู้ที่ถูกโจมตีด้วยแรนซัมแวร์ ProLock และอยากจะกู้ไฟล์คืนสามารถเข้าไปใช้งานฟรีได้ที่ https://www.

U.S. Secret Service ออกประกาศแจ้งเตือนการตรวจพบการโจมตี ATM ด้วยวิธีการ "Jackpotting" ซึ่งอาศัยการเข้าถึง ATM ทางกายภาพและควบคุมด้วยมัลแวร์หรือฮาร์ดแวร์เพื่อขโมยเงินออกมา พร้อมวิธีการรับมือและตอบสนองจาก Diebold และ NCR

การโจมตีด้วยวิธีการ Jackpotting ถูกตรวจพบครั้งแรกที่เม็กซิโกเมื่อปีที่ผ่านมา โดยมีเป้าหมายสำคัญคือการเข้าถึงและควบคุมเครื่อง ATM เพื่อให้สามารถนำเงินออกมาได้โดยไม่จำกัดขั้นตอนวิธีการทำ อาทิ

- อ้างอิงจากแหล่งข่าวจาก Diebold Nixdorf ผู้โจมตีใช้วิธีการเข้าถึงและเปลี่ยน HDD ของเอทีเอ็มเป็น HDD ที่ผู้โจมตีมีการทำอิมเมจของระบบ ATM เอาไว้จากไฟล์ที่ขโมยออกมา HDD ร่วมกับการใช้อุปกรณ์เสริมอย่างเช่นกล้องขนาดเล็ก (endoscope) เพื่อให้การเชื่อมต่อ HDD เสร็จสมบูรณ์หรือการถอดสายการเชื่อมต่อบางสายออกเพื่อยกเลิกการตรวจสอบอุปกรณ์ด้วย
- อ้างอิงจากแหล่งข่าวจาก U.S. Secret Service ผู้โจมตีมีการใช้มัลแวร์ Ploutus.