Με το ξέσπασμα της πανδημίας, ο αριθμός των επιθέσεων σε ATM και τερματικά PoS από εγκληματίες του κυβερνοχώρου, μειώθηκε σημαντικά σε σύγκριση με το προηγούμενο έτος (από περίπου 8.000 το 2019 σε 5.000 το 2020). Σύμφωνα με τις εκτιμήσεις των ειδικών, αυτό συνέβη για διάφορους λόγους. Μεταξύ αυτών ήταν η μείωση του συνολικού αριθμού των ΑΤΜ ανά τον κόσμο, το κλείσιμο των ΑΤΜ κατά τη διάρκεια των περιοριστικών μέτρων κατά της πανδημίας, καθώς και λόγω της συνολικής συρρίκνωσης των καταναλωτικών δαπανών.
Ωστόσο, με την σταδιακή επανεμφάνιση των προγενέστερων προτύπων καταναλωτικής συμπεριφοράς, η δραστηριότητα των επιθέσεων σε ATM και τερματικά PoS σημειώνει ξανά άνοδο.
Συγκεκριμένα, το 2021, ο αριθμός των συσκευών που ήρθαν αντιμέτωπες με κακόβουλο λογισμικό ATM/PoS αυξήθηκε κατά 39% σε σύγκριση με το προηγούμενο έτος, ενώ τους πρώτους οκτώ μήνες του 2022, ο αριθμός αυξήθηκε και παλι κατά 19% σε σύγκριση με την ίδια περίοδο του 2020 και κατά σχεδόν 4% σε σύγκριση με το 2021. Συνολικά, 4.173 συσκευές δέχθηκαν επίθεση μεταξύ Ιανουαρίου και Αυγούστου του 2022.
Δεδομένης αυτής της τάσης, οι ειδικοί αναμένουν ότι ο αριθμός των επιθέσεων σε συσκευές ATM/PoS θα αυξηθεί περαιτέρω το τέταρτο τρίμηνο του 2022.
Στόχος η απόκτηση του έλεγχου όλων των συσκευών ενός δικτύου
“Οι εγκληματίες του κυβερνοχώρου επιτίθενται σε ενσωματωμένα συστήματα, που χρησιμοποιούνται σε ΑΤΜ και τερματικά σημεία πώλησης (PoS), προκειμένου να αποσπάσουν μετρητά, διαπιστευτήρια πιστωτικών καρτών και προσωπικά δεδομένα, καθώς και να διεισδύσουν σε συστήματα προκειμένου να αποκτήσουν έλεγχο σε όλες τις συσκευές ενός δικτύου. Με αυτόν τον τρόπο, οι εισβολείς μπορούν μέσα σε μια νύχτα να αποσπάσουν χιλιάδες δολάρια”, αναφέρει η Kaspersky.
Σύμφωνα με τους ειδικούς της εταιρείας, το HydraPoS και το AbaddonPoS αντιπροσωπεύουν περίπου το 71% όλων των ανιχνεύσεων κακόβουλου λογισμικού ATM/PoS κατά την περίοδο 2020-2022, με ποσοστά 36% και 35%, αντίστοιχα. Το λογισμικό που προηγείται στη βαθμολογία, το HydraPoS, προέρχεται από τη Βραζιλία και εξειδικεύεται στην κλωνοποίηση πιστωτικών καρτών.
Σύμφωνα με αναφορές του Kaspersky Threat Intelligence Portal, αυτή η οικογένεια χρησιμοποιήθηκε σε επιθέσεις που αξιοποίησαν τεχνικές κοινωνικής μηχανικής: “Υπάρχουν διαφορετικές τεχνικές. Οι επιτιθέμενοι τηλεφωνούν ή ακόμη και έρχονται στα γραφεία των θυμάτων. Υποδύονται έναν υπάλληλο τράπεζας ή εταιρείας πιστωτικών καρτών και προσπαθούν να πείσουν το θύμα να εγκαταστήσει κακόβουλο λογισμικό σαν να επρόκειτο για ενημέρωση συστήματος”, αναφέρει η Kaspersky.
Η πρώτη πεντάδα των κακόβουλων λογισμικών κατά ATM/PoS
Η πρώτη πεντάδα περιλαμβάνει επίσης το Ploutus (3%) – την οικογένεια κακόβουλου λογισμικού που χρησιμοποιείται για την τροποποίηση νόμιμου λογισμικού και τη δυνατότητα απόκτησης ελέγχου των ΑΤΜ μέσω της απόσπασης διαχειριστικών προνομίων, που επιτρέπουν στους εγκληματίες να ξαφρίζουν ΑΤΜ. Το RawPoS (το κακόβουλο λογισμικό που μπορεί να εξάγει τα full magnetic stripe data από τη volatile memory) και το Prilex (το malware που εκμεταλλεύεται διαδικασίες που σχετίζονται με το λογισμικό των PoS και τα συστήματα συναλλαγών των πιστωτικών καρτών), αντιπροσωπεύουν 2% το καθένα. Οι υπόλοιπες 61 οικογένειες και τροποποιήσεις που αναλύθηκαν αντιπροσωπεύουν λιγότερο από 2% η καθεμία.
