[ad_1]

C’est remarquable chaque fois que la cybercriminalité déborde sur des attaques physiques réelles. C’est l’histoire d’une entreprise de sécurité russe dont les opérations ont été bombardées d’attaques au cocktail Molotov après avoir dénoncé un gang du crime organisé qui a développé et vendu des logiciels malveillants pour voler de l’argent aux guichets automatiques.

molotovLes menaces ont commencé peu de temps après le 18 décembre 2013, lorsque la société russe d’antivirus Dr Web a publié un article sur un nouveau programme de cheval de Troie conçu pour voler les données des cartes des guichets automatiques infectés. Dr.Web a reçu un email avertissant la société de supprimer toutes les références au malware ATM de son site.

La partie anonyme, qui s’est identifiée comme le « International Carders Syndicate », a déclaré Dr.Web’s Bouclier ATM produit conçu pour protéger les distributeurs automatiques de billets contre les logiciels malveillants connus « menace l’activité de Syndicate avec un profit de plusieurs millions de dollars ».

La menace continue :

« Des centaines d’organisations criminelles à travers le monde peuvent perdre leurs revenus. Vous disposez d’une SEMAINE pour supprimer toutes les références concernant ATM Skimmer de votre ressource Web. Sinon, le syndicat arrêtera les transactions de retrait et enverra des criminels pour la tête de vos programmeurs. La fin de Doctor Web sera tragique.

Dans une interview avec BreachTrace, PDG de Dr.Web Boris Charov a déclaré que l’entreprise ne s’était pas conformée aux exigences. Le 9 mars 2014, quelqu’un a lancé un cocktail Molotov sur le bureau d’une société tierce qui distribuait le produit ATM Shield de Dr.Web. Peu de temps après, quelqu’un a de nouveau attaqué le même bureau. À chaque fois, les dégâts ont été minimes, mais ils ont tout de même ébranlé les employés de l’entreprise.

Moins de deux semaines plus tard, Dr.Web a reçu une lettre d’avertissement de suivi :

« Cher Dr.Web, le syndicat international des cardeurs vous a mis en garde contre les interférences (interférences inacceptables) dans la sphère ATM. Tenant compte du fait que vous avez ignoré les demandes du syndicat, nous avons utilisé des sanctions. Pour souligner l’objectif du syndicat, votre bureau à Blagodatnaya st. a été brûlé deux fois.

Si vous ne supprimez pas toutes les références sur les virus atmskimmer de vos produits et de tous les produits pour ATM, le syndicat international des cardeurs détruira les bureaux de Doctor Web dans le monde entier. De plus, le syndicat fera pression sur l’interdiction de l’utilisation de la loi russe sur les antivirus dans pays qui ont des bureaux de représentation du syndicat sous prétexte de protection contre les services de renseignement russes.

Après une troisième attaque contre le bureau de Saint-Pétersbourg, un suspect qui a été vu en train de s’enfuir du lieu de l’attaque a été arrêté mais relâché plus tard car aucun témoin ne s’est présenté pour confirmer qu’il était celui qui avait lancé la bombe.

Pendant ce temps, Sharov a déclaré que Dr.Web avait détecté deux intrusions physiques dans son bureau de Moscou.

« C’est un bureau où nous avons beaucoup plus de sécurité que tout autre, mais aussi beaucoup plus de visiteurs », a-t-il déclaré. « Nous étions en état d’alerte maximale après les attentats à la bombe, et nous n’avons jamais eu d’intrusions auparavant et nous n’en avons jamais eu après cela. Mais pendant cette période, nous avons eu trois tentatives pour entrer dans le périmètre et faire quelque chose de mal, mais je n’entrerai pas dans les détails à ce sujet.

Sharov a déclaré que les analystes de Dr.Web pensaient que le groupe qui menaçait les attaques n’était pas lui-même des cybervoleurs, mais plutôt un groupe organisé de programmeurs qui avait vendu – mais pas encore livré – un logiciel criminel à plusieurs gangs spécialisés dans l’encaissement de cartes de guichet automatique piratées.

« Nous pensons que ce groupe est devenu très nerveux par le fait que nous avions publié exactement ce qu’ils avaient fait, et c’était très inopportun pour eux, ils étaient vraiment désespérés », a déclaré Sharov. « Nous pensons que nos rapports ont été publiés juste après la fin du développement du cheval de Troie ATM, mais avant qu’il ne soit diffusé aux clients. »

Sharov a déclaré qu’il croyait également que le groupe de programmeurs de logiciels malveillants qui a envoyé les menaces n’était pas le même mécréant qui a jeté les cocktails Molotov. Au contraire, Dr.Web soutient que ces attaques ont été payées et commandées sur Internet, pour être exécutées par des inconnus qui ont répondu à une demande d’aide criminelle.

« Nous sommes tout à fait sûrs qu’il a été commandé [over the] Internet, via un marché noir où vous pouvez commander presque n’importe quel crime », a déclaré Sharov, refusant à nouveau d’être plus précis. « Ce que nous avons vu, ce sont des gens de Saint-Pétersbourg lancer des cocktails Molotov, fuyant les gardes. Mais ces personnes n’étaient pas issues de l’environnement criminel informatique. Toutes les attaques avaient été commandées par Internet. Et comme ils n’ont jamais réussi contre notre bureau, cela nous a montré que peu d’argent avait été payé pour ces attaques.

Dr.Web pense que les programmeurs criminels qui ont engagé les attaques contre ses propriétés et ses partenaires opéraient depuis l’Ukraine, en partie à cause des faits entourant un autre incendie dans son bureau de Kiev le 14 avril 2014. Sharov a déclaré que l’incendie n’avait pas été déclenché intentionnellement, mais était plutôt le résultat d’un problème électrique sur un étage non occupé par Dr.Web.

« Les pompiers sont arrivés rapidement et notre bureau a juste été un peu endommagé par l’eau », se souvient-il. « Très peu de temps après, nous avons reçu une autre menace avec une photo de l’entrée du bureau de Kiev, et elle disait qu’un autre incendie s’y était allumé. Cette photo nous a révélé que l’équipe se trouvait quelque part en Ukraine. Personne n’avait publié de photographie des attentats de Saint-Pétersbourg ou de Moscou. Le fait qu’ils aient publié cela et essayé de présenter le cas que c’était leur [doing]ils n’étaient pas bien informés.

Peu de temps après cet incident, Sharov a déclaré que son bureau avait reçu la confirmation d’une banque à Moscou que l’équipe derrière le cheval de Troie ATM qui a causé tout le chahut opérait à partir de Kiev, en Ukraine.

Au cours des 18 mois qui ont suivi, le nombre de chevaux de Troie spécifiques aux guichets automatiques a explosé, bien que les attaquants semblent cibler principalement les banques russes, d’Europe de l’Est et d’Europe avec leurs créations. Pour en savoir plus sur la propagation et la sophistication des malwares ATM, consultez :

Augmentation des attaques de logiciels malveillants sur les distributeurs automatiques de billets vieillissants

Des voleurs ont planté des logiciels malveillants pour pirater les guichets automatiques

Les voleurs ‘Jackpot’ ATM avec l’attaque ‘Black Box’

Des guichets automatiques piratés par des gangs à l’intérieur des banques

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *