Virus ‘Ajaib’, Peretas Bobol ATM di 40 negara

By:

Aksi kejahatan siber baru-baru ini menemukan adanya hal ganjil dalam peretasan jaringan anjungan tunai mandiri (ATM) di 40 negara. Petugas bank menemukan ATM kosong tanpa uang, namun tidak ada jejak interaksi fisik dengan mesin ataupun infeksi malware.

Kasus misterius ini disinyalir dilakukan oleh pelaku dengan menggunakan serangan fileless in-memory malware untuk menginfeksi jaringan perbankan.

Spesialis forensik perbankan berupaya melakukan pemulihan dengan menyelidiki dua data berisi log malware dari hard drive ATM dan menjadi satu-satunya data yang tersisa setelah aksi peretasan.

Untuk menemukan sampel mereka mengidentifikasi potongan informasi di data yang biasa dipakai untuk membuat aturan YARA ketika menyusun repositori malware.

Aturan YARA sendiri pada dasarnya rangkaian penyelidikan untuk membantu menemukan, mengelompokkan, dan mengkategorikan sampel malware terkait dan menarik hubungan berdasarkan pola aktivitas mencurigakan pada sistem atau jaringan yang memiliki kesamaan.

Dalam siaran resmi yang diterima CNNIndonesia.com, tim Kaspersky Lav menemukan sampel malware yang kemudian dijuluki sebagai ATMitch sebanyak dua kali berkeliaran bebas yakni di Kazakhstan dan Rusia.

Lantas bagaimana cara kerja malware ATMitch dalam mencuri uang dalam ATM?

Peretas menginstal dan menjalankan malware dari jarak jauh pada ATM dari bank yang menjadi sasaran. Setelah terpasang dan terhubung dengan ATM, malware ATMitch akan berkomunikasi dnegan ATM seolah-olah malware tersebut merupakan peranti lunak yang lazim.

Selanjutnya malware membuat peretas leluasa memberi sejumlah perintah, mulai dari mengumpulkan informasi jumlah uang kertas dalam ATM hingga mengeluarkan sejumlah uang setiap saat peretas mau hanya dengan satu tombol.

Umumnya aksi peretasan dimulai dengan mendapatkan informasi tentang jumlah uang yang tersimpan dalam mesin ATM. Setelahnya, perintah untuk mengeluarkan sejumlah uang kertas dari mesin mana pun bisa mulai dilakukan.

Dengan cara ini, peretas hanya perlu mengambil uang dan pergi. Pola pencurian uang seperti ini juga bisa dilakukan hanya dalam hitungan detik. Ketika uang sudah diuri, malware akan otomatis menghapus jejaknya.

Penggunaan kode eksploitasi open source utilitas umum Windows dan domain yang tidak diketahui membuat pelacakan terhadap informasi pelaku hingga kini sulit diketahui. Belum dapat diketahui kelompok mana yang bertanggung jawab atas aksi ‘virus ajaib’ di ATM ini.

“Untuk memerangi serangan seperti ini membutuhkan sepertangkat keterampilan khusus mengingat pelanggaran keamanan dan exfiltration data hanya bisa dilakukan dari peralatan umum dan sah.

Umumnya setelah serangan pelaku menghapus data dan bisa menyebabkan mereka terdeteksi, meski tidak meninggalkan jejak sama sekali, tapi tim forensik memori bisa menganalisa malware dan fungsinya untuk memecahkan teka-teki tersebut,” tulis Principal Security Researcher Kaspersky Lab, Sergey Golovanov.

Sejauh ini pencurian terhadap jaringan ATM diketahui sudah menginfeksi 40 negara antara lain Austria, Bolivia, Bulgaria, Kamboja, Kanada, China, Kongo, Cyprus, Jerman, India, Iran, Indonesia, Iran, Kazakhstan, Libia, Madagaskar, Moldovo, Mongolia, Moroko, Pakistan, Paraguay, Peru, Arab Saudi, Tanzania, Ukrania, Vatikan, Venezuela, dan Vietnam.(evn)