Ряд российских банков ограбили беспрецедентным образом, всего за одну ночь.

Сумма похищенных денег составляет более чем 800 000 долларов США.

Хакеры украли 800 000 $ Из российских банкоматов с помощью самоудаляющихся вредоносных программ

Согласно кадрам видеонаблюдения, парень подходит к банкомату, стоит, не касаясь аппарата в течение 20 минут, а затем модуль выдачи наличных «дарит» ему около 100 000 долларов в рублевом эквиваленте. Подобные ситуации повторились в нескольких банкоматах по всему городу.

Специалисты службы безопасности банков не нашли никаких вредоносных программ ни в самих банкоматах, ни в общей банковской системе управления данными и обратились к специалистам «Лаборатории Касперского», которые сообщали о подобных атаках, не оставляющих после себя следов, на банкоматы более чем 140 финансовых учреждений Европы и Америки.

Сотрудники «Лаборатории Касперского», под управлением Сергея Голованова, эксперта по вредоносному программному обеспечению, обнаружили всего две записи в логах файловых журналов , фиксирующих процесс работы банкомата, которые похитители оставили по ошибке.

Изучив файлы, было установлено, что операция по похищению денежных средств происходила в три этапа:

  • сначала вредоносный код поручает банкомату снять деньги с кассет;
  • затем передать их на раздаточный лоток;
  • предоставить купюры через модуль выдачи наличных.


Также IT-специалисты обнаружили текстовый файл, с одной лишь единственной записью на английском языке: «Take the money, bitch» (Сука, возьми деньги), который был отображен на мониторе устройства и являлся сигналом для парня, стоящего рядом с банкоматом о том, что наобходимо приготовиться упаковывать наличные.

Проанализировав сеть банка, подвергшегося атаке, исследователи кибербезопасности смогли разобрать исходный вредоносный код и восстановить процесс кибератаки. Похитители построили цифровой туннель через сеть банка, что позволило им выполнять команды Windows Powershell и управлять банкоматами в режиме реального времени, минуя систему безопасности и не оставляя в ней следов взлома.

Также, сотрудники «Лаборатории Касперского» при помощи инструмента YARA, используемого для создания образцов вредоносных программ и платформы VirusTotal нашли совпадения с еще двумя файлами, которые были загружены неизвестными пользователями из России и Казахстана.

Сергей Голованов считает, что подобные атаки хоть и достаточно тяжело отследить, но возможно. Специалисты «Лаборатории Касперского» уже нашли тесную взаимосвязь в двух подобных хакерских атаках на банки, однако никаких задержаний еще не было.