Các nhà nghiên cứu đã phát hiện một biến thể mã độc mới, có tên gọi Ripper nhằm mục tiêu tới các máy ATM dựa trên đoạn text được tìm thấy trong mã nguồn malware (ATMRIPPER).
Một mẫu mã độc bị theo dõi khi được tải lên VirusTotal từ một địa chỉ IP Thái Lan, chỉ vài phút trước khi có thông tin về vụ việc 350.000 USD bị lấy cắp từ các máy ATM tại Thái Lan. Theo các chuyên gia FireEye mã độc này đã sử dụng những kỹ thuật chưa từng có trước đây.
Phát hiện một dòng mã độc ATM mới
Tuy Ripper là một dòng mã độc chưa từng xuất hiện, nhưng các chuyên gia cho biết, họ đã nhận diện được các thành phần cũng được tìm thấy trong các biến thể mã độc ATM khác như Padpin (Tyupkin), SUCEFUL, GreenDispenser và Skimer.
Có khả năng mã độc được tải lên VirusTotal bởi một trong những hacker đứng sau mã độc này, hoặc bởi nhóm điều tra Thái Lan sau khi đã tìm thấy mã độc trên các máy ATM bị tấn công.
Theo phân tích kỹ thuật, Ripper có nhiều chi tiết liên quan đến các vụ mất cắp tại các máy ATM đã được báo chí Thái Lan đưa tin.
Các tính năng của Ripper trùng khớp với báo cáo về vụ mất cắp tiền trong ATM
Mã độc này gồm một thành phần có khả năng vô hiệu hóa tương tác mạng của các máy ATM khi cần. Ripper cho phép kẻ tấn công kiểm soát các máy ATM thông qua một thẻ thanh toán có mã xác thực đặc biệt được nhúng trong chip EMV. Các nhà điều tra đã báo cáo các tình tiết tương tự về mã độc được tìm thấy trong các máy ATM bị tấn công.
Các nhà chức trách nghi ngờ rằng nhóm tin tặc đứng sau vụ tấn công vào các máy ATM tại Thái Lan cũng chính là tác giả đánh cắp 2,18 triệu USD trong máy ATM tại Đài Loan vào tháng 7/2016. Tại Đài Loan, tin tặc đã nhằm mục tiêu vào các máy ATM do Wincor Nixdorf sản xuất.
FireEye cho biết, Ripper tấn công vào mục tiêu là ba nhà cung cấp khác nhau. Tuy tên của các nhà cung cấp này không được đề cập, nhưng cách thức hoạt động của mã độc tương tự. Hơn nữa, dấu thời gian mã độc được tải lên VirusTotal là ngày 10/7/2016, hai ngày trước khi các cuộc tấn công tại Đài Loan diễn ra.
Ripper mượn các tính năng từ các dòng mã độc ATM khác
Các nhà nghiên cứu lưu ý rằng, thành phần của Ripper có chức năng đọc hoặc thoát thẻ theo yêu cầu rất giống với thành phần được tìm thấy trong mã độc SUCEFUL. Trong khi đó kỹ thuật sử dụng thẻ EMV master cho khách hàng lại mượn từ mã độc Skimer.
Các chuyên gia cho biết thêm, khả năng vô hiệu hóa kết nối mạng nội bộ giống với mã độc Padpin (Tyupkin) và môđun tự động xóa an toàn lại giống với một thành phần được tìm thấy trong GreenDispenser.
Nhà nghiên cứu Daniel Regalado của FireEye giải thích,ngoài kỹ thuật phức tạp, các cuộc tấn công vào các máy ATM ở Thái Lan cần có sự phối hợp của cả thao tác ảo và thao tác vật lý. Điều này nói lên tính chất tinh vi của những tên tội phạm mạng.
