近三年ATM攻击分析

2020-05-19 31607人围观 ,发现 1 个不明物体 网络安全

针对ATM的攻击历史悠久,攻击者每年都会进一步提高感染ATM系统的能力,根据2017年至2019年数据分析,2020年ATM攻击又会有何变化?

数据分析

一次成功的ATM攻击可以获利数十万美元,与传统的金融威胁(例如网络钓鱼、欺诈网站)有所不同,ATM需要连接到公司内部网络,同时外部任何用户都能够访问它们,由此使得攻击方法不同于传统。

ATM还具有一些共同的特征,这些特征使它们特别容易受到攻击:

供应商为软件提供保修服务,如果未经ATM供应商批准进行更改,则供应商不再提供保修

使用过时的操作系统及应用程序,犯罪分子可以利用未修补的漏洞获得对内部的访问权限

选择人流密集的位置安放设备,但有些地方没有任何基本的安全保护

分析了过去三年来全球范围内的数据,过去三年中被攻击的ATM/PoS设备数量:

2017年

2017年受攻击设备地区分布:

2017年受攻击TOP10国家:

TOP10国家分布在全球各地,其中俄罗斯数量最多。 2017年研究人员发现名为“ ATMitch”的恶意软件,该恶意软件可获得ATM的远程访问控制。

2018年

2018年受攻击设备地区分布:

2018年受攻击TOP10国家:

2018年受攻击国家/地区仍分布在全球各地,与2017年相似,俄罗斯和巴西的攻击数量最高。

受影响设备数量总体增长,出现了新的ATM恶意软件家族:

ATMJackpot最早于2016年在台湾出现。它感染了银行的内部网络,可以直接从ATM提取资金。 ATMJackpot能够访问数千个ATM。

WinPot于2018年初在东欧被发现,可使被感染的ATM自动转账。其执行与时间有关:如果目标系统的时间不在该恶意软件预设时间(例如3月)内,WinPot会保持静默。

Ice5起源于拉丁美洲,允许攻击者对受感染的ATM进行操纵,最初通过USB端口传播。

ATMTest通过控制台访问ATM,攻击者必须获得银行网络的远程访问权。

Peralta是ATM恶意软件Ploutus的变体,导致73,258台ATM被攻击,损失了64,864,864.00美元。

ATMWizX于2018年秋季被发现,可使被感染的ATM自动转账。

ATMDtruck也出现在2018年秋天,第一批受害者在印度。它利用受感染ATM收集信息,完成克隆。

2019年

2019年受攻击设备地区分布:

2019年受攻击TOP10国家:

过去的一年中,ATM/PoS恶意软件活动最高的前十个国家保持不变,受影响设备总数再次增加。2019年春季,ATM/PoS恶意软件活动达到新的水平。

ATMgot可通过自动提款机在ATM上直接操作,提取允许的最大数量。该恶意软件还具有反取证技术,可从ATM删除感染痕迹以及视频文件。

ATMJadi起源于拉丁美洲,攻击者必须访问银行网络。

趋势分析

ATM/PoS恶意软件还会继续发展,目前已经发现WinPot,它于2018年首次发现,今年仍然活跃于世界各地。

拉丁美洲长期以来是网络犯罪分子技术创新发展的地区,最近发现ATM MaaS项目,攻击组织出售针对市面上主要ATM的恶意软件。表明ATM恶意软件仍在不断发展,网络犯罪分子不断开发出更好的攻击策略。除拉丁美洲外,欧洲和APAC地区国家是攻击者特别感兴趣的国家,ATM已经成为全球威胁。

对于金融机构而言,需要采取综合性防御措施:

评估攻击媒介,生成威胁模型

更新已过时操作系统和软件

定期进行ATM的安全评估,渗透测试,查找可能的网络攻击媒介

定期检查ATM物理安全

安装防护软件

PoS终端有许多不同之处需要注意并加以相应处理:

PoS终端可为攻击者提供更大的操作空间,需要多层保护

缺少像自动取款机的外部物理保护,更容易受到未经授权的直接攻击。

结合攻击场景,实施文件完整性监视和日志检查

安装Web网关或下一代防火墙,检测阻止未经请求的通信

*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM

相关推荐
发表评论

已有 1 条评论

取消
Loading...

这家伙太懒,还未填写个人描述!

148 文章数 11 评论数 23 关注者

特别推荐

推荐关注

官方公众号

聚焦企业安全

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php