ATM di 13 Negara Menjadi Korban Kejahatan Malware Skimmer

TRIBUNNEWS.COM, JAKARTA - Kelompok Skimer yang berbahasa Rusia memaksa ATM untuk membantu mereka dalam mencuri uang para nasabah perbankan.

Ditemukan pada tahun 2009, Skimmer adalah sebuah program jahat pertama yang menargetkan ATM.

Tujuh tahun kemudian, penjahat siber kembali menggunakan malware ini dan keduanya baik penjahat dan malware telah berevolusi, dan kali ini mereka menimbulkan ancaman yang lebih canggih bagi perbankan dan pelanggan mereka di seluruh dunia.

Bayangkan situasi ini, bank menemukan bahwa mereka telah diserang. Namun, anehnya, tidak ada uang yang dicuri, dan tampaknya tidak ada sistem perbankan yang dimodifikasi. Para penjahat menghilang begitu saja. Tapi apakah hal ini mungkin terjadi?

Para ahli Kaspersky Lab merasa tertantang dengan insiden ini dan berusaha menemukan alasan dari tindak kriminal yang tidak seperti biasanya ini.

Selama periode penyelidikan, tim ahli Kaspersky Lab berhasil menemukan alur rencana dari kelompok penjahat siber ini serta menemukan jejak dari versi terbaru malware Skimmer di salah satu ATM bank.

Malware tersebut sengaja ditanam di ATM tersebut dan dibiarkan tidak aktif hingga penjahat siber mengirimkan perintah pengaktifan - cara cerdas untuk menyembunyikan jejak kejahatan mereka.

Kelompok Skimmer memulai operasinya dengan mendapatkan akses ke sistem ATM - baik melalui akses fisik, atau melalui jaringan internal bank.

Kemudian, setelah berhasil menginstal Backdoor.Win32.Skimer ke dalam sistem, backdoor tersebut menginfeksi inti dari ATM – sebuah executable yang bertanggung jawab untuk mengatur interaksi mesin dengan infrastruktur perbankan, pengelolaan uang tunai dan kartu kredit.

Para penjahat kemudian memiliki kontrol penuh atas ATM yang terinfeksi. Tetapi mereka beraksi dengan hati-hati dan terampil. Alih-alih memasang perangkat skimmer (pembaca kartu palsu untuk penipuan di atas pembaca yang asli) untuk menyedot data kartu, mereka mengubah ATM menjadi skimmer.

Dengan ATM yang berhasil terinfeksi dengan Backdoor.Win32.Skimer, penjahat siber dapat dengan mudah menarik semua dana di ATM atau mengambil data dari kartu yang digunakan di ATM: termasuk nomor rekening dan kode PIN nasabah.

Hal yang paling menakutkan adalah bahwa tidak ada cara bagi orang awam untuk membedakan ATM yang terinfeksi dengan yang tidak terinfeksi.

Mereka tidak memiliki tanda-tanda fisik berbahaya, seperti dalam kasus-kasus dengan perangkat skimmer ketika seorang pengguna yang paham mengenai keamanan siber dapat mengetahui apakah penjahat siber telah mengganti pembaca kartu asli dalam mesin ATM.

Zombie Yang Tertidur

Penarikan uang secara langsung dari money cassettes dengan sekejap dapat mengungkap aksi pencurian setelah dilakukannya tindak kriminal pertama, sementara malware di dalam ATM dengan aman dapat skim data dari kartu untuk waktu yang sangat lama.

Oleh karena itu para penjahat Skimmer tidak mulai aksi mereka secepatnya – mereka akan sangat berhati-hati untuk menyembunyikan jejak mereka: malware mereka dapat beroperasi pada ATM yang terinfeksi selama beberapa bulan tanpa melakukan aktivitas apapun.

Untuk membangunkan malware tersebut, penjahat harus memasukkan kartu tertentu, yang memiliki catatan tertentu pada strip magnetik.

Setelah membaca catatan, Skimmer dapat menjalankan perintah yang di hardcoded, atau permintaan perintah melalui menu khusus yang hanya dapat diaktifkan oleh kartu.

Antarmuka grafis Skimmer muncul di layar hanya setelah kartu dikeluarkan dan jika penjahat memasukkan session key yang tepat dari pin pad menjadi bentuk khusus dalam waktu kurang dari 60 detik.

Dengan bantuan menu ini, penjahat dapat mengaktifkan 21 perintah yang berbeda, seperti mengeluarkan uang (40 uang kertas dari money cassettes yang ditentukan), mengumpulkan rincian mengenai kartu yang dimasukkan, otomatis menghapus, melakukan pembaharuan (dari pembaharuan kode malware yang tertanam pada chip kartu ), dll.

Juga, ketika mengumpulkan rincian kartu, Skimer dapat menyimpan file dengan dumps dan PIN pada chip kartu yang sama, atau mencetak rincian kartu yang telah dikumpulkan oleh Skimmer ke dalam tanda bukti ATM.

Dalam sebagian besar kasus, penjahat memilih untuk menunggu dan mengumpulkan data dari kartu yang berhasil di skim untuk membuat salinan dari kartu ini nanti.

Dengan salinan ini mereka pergi ke, ATM non-terinfeksi yang berbeda dan dengan santai menarik uang dari rekening pelanggan. Dengan cara ini, penjahat dapat memastikan bahwa ATM yang terinfeksi tidak akan ditemukan dalam waktu dekat.

Dan akses mereka ke uang tunai menjadi lebih mudah, dan yang mengkhawatirkan mudah bagi mereka untuk mengelolanya.

Pemain Lama 

Skimer didistribusikan secara luas antara tahun 2010 dan 2013. Kemunculannya mengakibatkan peningkatan drastis terhadap jumlah serangan terhadap ATM, dan membuat para ahli Kaspersky Lab berhasil mengidentifikasi sembilan jenis malware berbeda lainnya.

Termasuk jenis malware Tyupkin, ditemukan pada bulan Maret 2014, yang menjadi paling populer dan tersebar dengan luas. Namun, saat ini sepertinya Backdoor.Win32.Skimer mulai kembali beraksi. Kaspersky Lab telah mengidentifikasi 49 modifikasi dari malware ini, dengan 37 modifikasi dari malware ini menargetkan ATM yang diproduksi sebuah produsen ternama. Versi terbaru ditemukan pada awal Mei 2016.

Dengan sampel diserahkan ke VirusTotal, kita dapat melihat distribusi geografis yang sangat luas dari ATM yang berpotensi terinfeksi. 20 sampel terbaru dari jenis Skimer diupload di lebih dari 10 lokasi di seluruh dunia: UAE, Perancis, Amerika Serikat, Rusia, Macao, Cina, Filipina, Spanyol, Jerman, Georgia, Polandia, Brazil, Republik Ceko.

Teknik Penanggulangan

Untuk mencegah ancaman ini, Kaspersky Lab menganjurkan melakukan scan AV biasa, disertai dengan penggunaan teknologi whitelisting, kebijakan manajemen perangkat yang baik, enkripsi disk secara menyeluruh, melindungi BIOS dari ATM dengan password,  hanya mengijinkan booting HDD dan mengisolasi jaringan ATM dari jaringan internal bank lainnya.

Ada sebuah cara penanggulangan tambahan penting yang hanya bisa dilakukan pada kasus tertentu. Backdoor.Win32.Skimer akan memeriksa informasi (sembilan angka tertentu) hardcoded pada strip magnetik kartu untuk mengidentifikasi apakah malware harus diaktifkan.

"Kami telah menemukan nomor hardcoded yang digunakan oleh malware, dan kami juga membagikannya secara bebas dengan perbankan. Setelah bank memiliki angka-angka tersebut, maka mereka dapat secara proaktif  mencari malware tersebut di dalam sistem pengelolaan mereka, mendeteksi ATM yang berpotensi terinfeksi, atau memblokir upaya apapun oleh para penjahat untuk mengaktifkan malware," ungkap Sergey Golovanov, Principal Security Researcher di Kaspersky Lab.

Produk Kaspersky Lab mendeteksi ancaman ini sebagai Backdoor.Win32.Skimer.

Anda dapat membaca posting blog mengenai infeksi ATM dan tulisan tentang masalah keamanan ATM modern di Securelist.com

Karena hal ini masih dalam penyelidikan yang terus berlangsung, laporan lengkapnya hanya dibagikan kepada pihak-pihak tertentu saja yang terdiri dari LEA, CERT, lembaga keuangan dan Kaspersky Lab threat intelligence service customers.

Untuk mempelajari lebih lanjut tentang ancaman ini dan untuk mendapatkan akses eksklusif ke repositori Kaspersky Lab untuk semua Laporan Intelijen, silahkan hubungi kami di [email protected].