Malware GreenDispenser gewährt Zugriff auf vermeintlich ausgefallene Geldautomaten

CyberkriminalitätSicherheit
Geldautomat (Bild: Shutterstock/PKpix)

Mit GreenDispenser infiziete Geldautomaten scheinen ausgefallen zu sein. Dennoch können Angreifer durch Eingabe ihnen bekannter PIN-Codes das vorgehaltene Bargeld “abheben”. Die Malware lässt sich danach löschen, um die Spuren zu verwischen.

Das Sicherheitsunternehmen Proofpoint hat vor der Malware GreenDispenser gewarnt, mit deren Hilfe Kriminelle den Geldbestand eines Geldautomaten stehlen können. Die neue Angriffsmethode ist demnach zuerst in Mexiko verwendet worden, es sei jedoch nur eine Frage der Zeit, bis sie auch in anderen Ländern angewendet werde.

GreenDispenser sorgt dafür, dass damit infizierte Geldautomaten ausgefallen zu sein scheinen. Angreifer können sich nach Eingabe von bestimmten PIN-Codes das vorgehaltene Bargeld dennoch ausgeben lassen. Spuren blieben dabei nicht zurück, da die Kriminellen die Malware anschließend wieder löschen könnten.

Proofpoint Logo (Grafik: Proofpoint)

GreenDispenser ist nicht die erste Malware, mit denen Kriminelle Geldautomaten angreifen. Ähnlich wie Ploutus, Padpin und Suceful greift sie die Geräte über bei Geldautomaten genutzte, herstellerunabhängige Standardschnittstelle CEN/XFS an.

Wie Suceful weist aber auch GreenDispenser einige zusätzlich Funktionen auf. Der von Proofpoint analysierte Code gab etwa vor, dass die Schadsoftware nur im Jahr 2015 und vor dem Monat September laufen sollte. Offenbar sollte GreenDispenser nur begrenzt zum Einsatz kommen und sich dann selbst deaktivieren, um eine Entdeckung zu vermeiden.

Außerdem verwendet die Malware eine Art von Zwei-Faktor-Authentifizierung: Nach einer festgelegten PIN muss eine zweite, dynamisch generierte PIN eingegeben werden. Die zweite PIN leitet sich von einem QR-Code ab, der erst nach Eingabe der ersten PIN auf dem Display des Automaten angezeigt wird. Die Experten von Proofpoint nehmen an, dass die Angreifer mit einer Smartphone-App arbeiten, die den QR-Code scannt und die zweite PIN ausliest. So wäre sichergestellt, dass den Diebe nicht ein Glückspilz zuvorkommt, der zufällig eine korekte PIN eingibt.

Proofpoint geht davon aus, dass für die Installation der Malware der direkte Zugang zum Geldautomaten erforderlich ist. Anlässlich der Entdeckung von Suceful vor knapp zwei Wochen hatte NCR, einer der großen Hersteller von Geldautomaten, bereits darauf hingewiesen, dass die Malware zunächst auf die Festplatte gelangen und zum anderen dort im laufenden Betrieb des Systems zur Ausführung gebracht werden muss. Das gilt auch für GrenDispenser.

Wie hier NCR setzen auch andere Hersteller von Geldautomaten diverse Sicherheitstechniken ein, um Angreifern den in der Regel erforderlichen, physischen Zugriff auf ihre Systeme zu erschweren (Bild: NCR).
Wie hier NCR setzen auch andere Hersteller von Geldautomaten diverse Sicherheitstechniken ein, um Angreifern den in der Regel erforderlichen, physischen Zugriff auf ihre Systeme zu erschweren (Bild: NCR).

Um solche Angriffe zu verhindern, bieten Hersteller etwa Festplattenverschlüsselung und speziell NCR mit NCR Solidcore eine Whitelisting-Lösung an. Harald Heinz, Vertriebsleiter für den deutschsprachigen Raum bei NCR, empfahl Banken aufgrund der Suceful-Attacken als weitere Sicherheitsmaßnahmen ein starkes BIOS-Passwort und eindeutig festgelegte Startup- sowie Bootsequenzen.

Der großflächige Ausfall von Geldautomaten der Sparkassen in Nordrhein-Westfalen, Rheinland-Pfalz, Saarland, Baden-Württemberg und Bremen am Freitag dieser Woche ist nach Aussage des zuständigen Dienstleisters Finanz Informatik definitiv nicht auf einen Hackerangriff oder anderweitige, kriminelle Aktivitäten zurückzuführen. Grund sei vielmehr ein technisches Problem in einem Rechenzentrum des Dienstleisters gewesen. Der führte dazu, dass Kunden rund vier Stunden an tausenden Automaten keine Abhebungen vornehmen und auch Kontoauszugsdrucker nicht nutzen konnten. Teilweise funktionierten auch Kassenterminals in den Filialen nicht.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen