สหรัฐฯ เตรียมเนรเทศชาวเวเนซุเอลาที่ใช้มัลแวร์ขโมยเงินจากตู้ ATM

อัยการรัฐเซาท์แคโรไลนาประกาศว่า ชาวเวเนซุเอลาสองรายที่ถูกตัดสินว่ามีความผิดฐานขโมยเงินหลายแสนดอลลาร์จากธนาคารในสหรัฐอเมริกาด้วยแผนการ ‘ATM Jackpotting’ จะถูกเนรเทศหลังจากพ้นโทษ การโจมตีนี้เกี่ยวข้องกับการใช้แล็ปท็อปเชื่อมต่อกับตู้ ATM รุ่นเก่าเพื่อติดตั้งมัลแวร์ที่สามารถข้ามโปรโตคอลความปลอดภัยและบังคับให้ตู้จ่ายเงินสดออกมาจนหมด เงินที่ถูกขโมยไปมาจากธนาคารโดยตรง ไม่ใช่บัญชีลูกค้า โดยส่งผลกระทบต่อสถาบันในเซาท์แคโรไลนา จอร์เจีย นอร์ทแคโรไลนา และเวอร์จิเนีย ผู้ต้องหาถูกตัดสินจำคุกและต้องชดใช้เงินคืนก่อนถูกเนรเทศ นอกจากนี้ การสืบสวนยังเชื่อมโยงกับกลุ่มบุคคล 54 คนที่ถูกฟ้องร้องในคดี ATM Jackpotting ที่เนบราสก้า ซึ่งมีสมาชิกของแก๊ง Tren de Aragua จากเวเนซุเอลาเข้ามาเกี่ยวข้องด้วย

Severity: สูง

System Impact:

• ตู้ ATM (โดยเฉพาะรุ่นเก่า)
• ธนาคารในสหรัฐอเมริกา (รัฐเซาท์แคโรไลนา, จอร์เจีย, นอร์ทแคโรไลนา, เวอร์จิเนีย)

Technical Attack Steps:

1. ผู้โจมตีเข้าถึงตู้ ATM ในเวลากลางคืน
2. ถอดฝาครอบด้านนอกของตู้ ATM ออกเพื่อเข้าถึงส่วนประกอบภายใน
3. เชื่อมต่อคอมพิวเตอร์พกพา (laptop) เข้ากับตู้ ATM
4. ติดตั้งมัลแวร์ (Ploutus variant) ซึ่งสามารถทำได้โดยการถอดฮาร์ดไดรฟ์ของ ATM และติดตั้งมัลแวร์โดยตรง, ใช้ธัมบ์ไดรฟ์ หรือเปลี่ยนฮาร์ดไดรฟ์ที่ติดมัลแวร์แล้ว
5. มัลแวร์จะทำงานเพื่อข้ามโปรโตคอลความปลอดภัยของ ATM
6. บังคับให้ตู้ ATM จ่ายเงินสดออกมาทั้งหมด (ATM Jackpotting)
7. มัลแวร์จะลบหลักฐานการโจมตีเพื่อปกปิดการกระทำจากพนักงานธนาคาร

Recommendations:

Short Term:

• ตรวจสอบและเสริมสร้างความปลอดภัยทางกายภาพของตู้ ATM ทั้งหมด โดยเฉพาะรุ่นเก่าที่อาจมีความเสี่ยงต่อการเข้าถึงภายใน
• อัปเดตเฟิร์มแวร์และซอฟต์แวร์ของตู้ ATM ให้เป็นปัจจุบันอยู่เสมอ เพื่อแก้ไขช่องโหว่ที่ทราบ
• เฝ้าระวังกิจกรรมที่น่าสงสัยรอบตู้ ATM โดยใช้กล้องวงจรปิดและระบบแจ้งเตือน
• กำหนดมาตรการควบคุมการเข้าถึงภายในตู้ ATM อย่างเข้มงวด และตรวจสอบบันทึกการเข้าถึงเป็นประจำ

Long Term:

• ใช้โซลูชันการป้องกันมัลแวร์ขั้นสูงที่ออกแบบมาสำหรับตู้ ATM โดยเฉพาะ
• ทำการตรวจสอบความปลอดภัยและทดสอบเจาะระบบ (penetration testing) ตู้ ATM อย่างสม่ำเสมอ เพื่อระบุและแก้ไขช่องโหว่
• ฝึกอบรมพนักงานเกี่ยวกับภัยคุกคามจากการโจมตีทางกายภาพและวิศวกรรมสังคมที่อาจเกิดขึ้นกับตู้ ATM
• พัฒนาระบบการตรวจจับและตอบสนองต่อเหตุการณ์ (Incident Response) สำหรับการโจมตี ATM เพื่อลดความเสียหายและเวลาหยุดชะงัก
• พิจารณาการอัปเกรดตู้ ATM รุ่นเก่าที่มีช่องโหว่สูงให้เป็นรุ่นใหม่ที่มีความปลอดภัยและคุณสมบัติการป้องกันที่ดียิ่งขึ้น
• แบ่งปันข้อมูลภัยคุกคามกับหน่วยงานบังคับใช้กฎหมายและสถาบันการเงินอื่น ๆ เพื่อรับมือกับแผนการโจมตีที่คล้ายคลึงกัน

Source: https://www.bleepingcomputer.com/news/security/us-to-deport-venezuelans-who-emptied-bank-atms-using-malware/