ATM Malware Attacks

Определение

ATM malware attacks — компрометация terminal software или операционной среды ATM вредоносным кодом для cash-out, хищения данных, сокрытия действий или нарушения работы устройства.

Типовые цели malware на ATM

• инициировать неавторизованную выдачу наличных;
• вмешаться в normal transaction flow;
• получить доступ к данным;
• отключить или обойти monitoring;
• скрыть следы;
• использовать ATM как точку дальнейшего доступа.

Возможные пути заражения на высоком уровне

• физический сервисный доступ;
• компрометированный update process;
• remote administration;
• сетевой доступ;
• insider threat;
• уязвимость ATM PC или software stack.

Этот список нужен для threat modeling. Он не является инструкцией по проведению атаки.

Признаки компрометации

• неизвестные процессы или сервисы;
• изменения файлов и конфигурации;
• отключение security controls;
• нестандартные перезапуски;
• аномальные dispenser events;
• расхождение EJ, host records и counters;
• неожиданный сетевой трафик;
• alert от allowlisting, EDR или monitoring.

Источники доказательств

• filesystem и integrity monitoring;
• Windows / OS logs;
• ATM application logs;
• XFS / device events;
• EJ;
• network telemetry;
• service access logs;
• reconciliation;
• CCTV и tamper events.

Контрольные меры

• secure software distribution;
• patch management;
• application allowlisting;
• least privilege;
• контролируемый remote access;
• network segmentation;
• integrity monitoring;
• audit сервисных действий;
• incident response playbook.

Связанные заметки

• ATM-Jackpotting
• ATM-XFS-Attack-Surface
• ATM-Incident-Evidence-Package
• ATM-Security-Threat-Model
• ATM-Электронный-Журнал

Источники

• Europol: International Criminal Group Behind ATM Malware Attacks Dismantled.
• NCR Atleos: ATM Management & Support Services.