Malware, die Bargeld aus Geldautomaten ausspuckt, hat sich auf der ganzen Welt verbreitet

An einem späten Novembermorgen um 10 Uhr morgens bemerkte ein Bankangestellter in Freiburg, Deutschland, dass mit einem Geldautomaten der Bank etwas nicht stimmte.

Laut einem mit dem Fall vertrauten Polizeibeamten sei es mit einer Schadsoftware namens „Cutlet Maker“ gehackt worden, die Geldautomaten dazu bringen soll, das gesamte darin befindliche Geld auszuwerfen.

„Ho-ho-ho! Lass uns heute ein paar Schnitzel machen!“ Auf dem Bedienfeld des Cutlet Makers wird neben Comicbildern ein Koch und ein jubelndes Stück Fleisch angezeigt. In einem offensichtlichen russischen Wortspiel bedeutet ein Schnitzel nicht nur ein Stück Fleisch, sondern auch ein Bündel Bargeld.

Eine gemeinsame Untersuchung von Motherboard und dem Bayerischen Rundfunk (BR) hat neue Details über eine Flut sogenannter „Jackpotting“-Angriffe auf Geldautomaten in Deutschland im Jahr 2017 ans Licht gebracht, bei denen Diebe mehr als eine Million Euro erbeuteten. Beim Jackpotting handelt es sich um eine Technik, bei der Cyberkriminelle Malware oder Hardware verwenden, um einen Geldautomaten dazu zu bringen, sein gesamtes Bargeld abzuheben, ohne dass eine gestohlene Kreditkarte erforderlich ist. Hacker installieren die Malware normalerweise auf einem Geldautomaten, indem sie eine Abdeckung am Automaten physisch öffnen, um einen USB-Anschluss freizulegen.

In einigen Fällen haben wir die betroffenen Banken und Geldautomatenhersteller identifiziert. Obwohl eine europäische Non-Profit-Organisation berichtete, dass Jackpot-Angriffe in der Region in der ersten Hälfte dieses Jahres zurückgegangen seien, berichteten mehrere Quellen, dass die Zahl der Angriffe in anderen Teilen der Welt gestiegen sei. Zu den angegriffenen Regionen gehören die USA, Lateinamerika und Südostasien, und das Problem betrifft Banken und Geldautomatenhersteller in der gesamten Finanzbranche.

„Die USA sind ziemlich beliebt“, sagte eine mit Geldautomatenangriffen vertraute Quelle. Motherboard und BR gewährten mehreren Quellen, darunter auch Strafverfolgungsbeamten, Anonymität, um offener über sensible Hacking-Vorfälle sprechen zu können.

Ein Screenshot des Cutlet Maker-Bedienfelds. Bild: Twitter-Account von @CryptoInsane

*

Während der jährlichen Cybersicherheitskonferenz Black Hat im Jahr 2010 demonstrierte der verstorbene Forscher Barnaby Jack live auf der Bühne seinen eigenen Stamm von Geldautomaten-Malware. Das Publikum brach in Applaus aus, als der Geldautomat das Wort „JACKPOT“ anzeigte und einen stetigen Strom von Banknoten auswarf.

Jetzt wurden ähnliche Angriffe in freier Wildbahn durchgeführt.

Im Freiburger Fall sei kein Bargeld gestohlen worden, sagte der Polizeibeamte. Doch Christoph Hebbecker, Staatsanwalt des Bundeslandes Nordrhein-Westfalen, sagte, sein Büro untersuche zehn Vorfälle, die zwischen Februar und November 2017 stattgefunden hätten, darunter Angriffe, bei denen sich Diebe mit Bündeln von Bargeld davongemacht hätten. Insgesamt hätten Hacker 1,4 Millionen Euro (1,5 Millionen US-Dollar) gestohlen, sagte Hebbecker.

Hebbecker fügte hinzu, dass er aufgrund der Ähnlichkeit der Angriffe davon ausgeht, dass sie alle mit derselben kriminellen Bande in Verbindung stehen. In einigen Fällen lägen den Staatsanwälten Videobeweise vor, bislang gebe es aber keine Verdächtigen, fügten sie hinzu.

„Die Ermittlungen dauern noch an“, sagte Hebbecker in einer E-Mail auf Deutsch.

Mehrere Quellen sagten, dass mehrere der Angriffe im Jahr 2017 in Deutschland die Bank Santander betrafen; Zwei Quellen gaben an, dass es sich dabei speziell um das Geldautomatenmodell Wincor 2000xe des Geldautomatenherstellers Diebold Nixdorf handelte.

„Generell äußern wir uns nicht zu dedizierten Einzelfällen“, sagte Bernd Redecker, Leiter Unternehmenssicherheit und Betrugsmanagement bei Diebold Nixdorf, in einem Telefonat. „Allerdings haben wir es natürlich mit unseren Kunden zu tun, wenn es um Jackpots geht, und wir sind uns dieser Fälle bewusst.“ Diebold Nixdorf hat diese Geldautomaten auch auf dem US-Markt verkauft.

Ein Überblick über das 2000xe-Geldautomatenmodell. Bild: Wincor Nixdorf.

Ein Santander-Sprecher sagte in einer per E-Mail gesendeten Erklärung: „Der Schutz der Informationen unserer Kunden und der Integrität unseres physischen Netzwerks steht im Mittelpunkt unserer Arbeit. Unsere Experten sind in jeder Phase der Produktentwicklung und des Betriebs involviert, um Kunden und die Bank zu schützen.“ Betrug und Cyber-Bedrohungen. Dieser Fokus auf den Schutz unserer Daten und Abläufe hält uns davon ab, zu spezifischen Sicherheitsproblemen Stellung zu nehmen.“

Nach Angaben der Berliner Behörden gab es seit Frühjahr 2018 mindestens 36 Jackpot-Fälle, bei denen mehrere Tausend Euro gestohlen wurden. Sie lehnten es ab, den Namen der konkret eingesetzten Schadsoftware zu nennen.

Nach Angaben von Polizeisprechern haben die Behörden in den vergangenen Jahren in Deutschland insgesamt 82 Jackpot-Angriffe in verschiedenen Bundesländern registriert. Allerdings führten nicht alle dieser Angriffe zu erfolgreichen Auszahlungen.

Kennen Sie andere Jackpot-Angriffe? Wir würden uns freuen, von Ihnen zu hören. Wenn Sie ein arbeitsfreies Telefon oder einen Computer verwenden, können Sie Joseph Cox sicher über Signal unter +44 20 8133 5190, Wickr unter josephcox, OTR-Chat unter [email protected] oder per E-Mail an [email protected] kontaktieren.

Es ist jedoch wichtig zu bedenken, dass das Gewinnen von Geldautomaten-Jackpots nicht auf eine einzelne Bank oder einen Geldautomatenhersteller beschränkt ist. Es ist wahrscheinlich, dass die anderen Angriffe auch andere Banken als Santander betrafen. Das sind lediglich die Angriffe, die unsere Untersuchung identifiziert hat.

„Sie werden dies bei allen Anbietern sehen; es ist nicht auf eine bestimmte Maschine, noch auf eine bestimmte Marke und schon gar nicht auf eine Region ausgerichtet“, sagte Redecker.

Ein Teil des Sicherheitsproblems bei Geldautomaten besteht darin, dass es sich bei vielen von ihnen im Wesentlichen um veraltete Windows-Computer handelt.

„Das sind sehr alte, langsame Automaten“, sagte die mit Geldautomatenangriffen vertraute Quelle.

Geldautomatenhersteller hätten die Sicherheit ihrer Geräte verbessert, betonte Redecker von Diebold Nixdorf. Das bedeutet jedoch nicht zwangsläufig, dass alle Geldautomaten in der Branche den gleichen Standard erfüllen.

Und auch die Verantwortung für die Sicherung des Zugangs zu den Geldautomaten liegt bei den Banken.

„Um einen Jackpot-Angriff durchzuführen, muss man Zugriff auf die internen Komponenten des Geldautomaten haben. Die Verhinderung dieses ersten physischen Angriffs auf den Geldautomaten trägt also wesentlich dazu bei, den Jackpot-Angriff zu verhindern“, sagt David N. Tente, Geschäftsführer of USA, Canada & Americas bei der ATM Industry Association (ATMIA), sagte in einer E-Mail.

Redecker sagte, er habe seit 2012 Angriffe auf der ganzen Welt erlebt, wobei Deutschland 2014 in Berlin die ersten Jackpot-Angriffe erlebte.

Ungefähr zur Zeit der Angriffe im Jahr 2017 veröffentlichten Forscher des Cybersicherheitsunternehmens Kaspersky Forschungsergebnisse, aus denen hervorgeht, dass Cutlet Maker seit Mai dieses Jahres in Hackerforen zum Verkauf steht. Es schien, dass jeder mit ein paar tausend Dollar die Malware kaufen und versuchen konnte, selbst Geldautomaten zu knacken.

„Die Bösewichte verkaufen diese Entwicklungen [Malware] an einfach jeden“, sagte David Sancho, leitender Bedrohungsforscher beim Cybersicherheitsunternehmen Trend Micro, der mit Europol an Jackpot-Forschung arbeitet. Dies habe es kleineren Unternehmen oder unternehmungslustigen Kriminellen ermöglicht, Geldautomaten ins Visier zu nehmen, fügte er hinzu.

„Möglicherweise kann dies jedes Land der Welt betreffen“, sagte Sancho.

Motherboard sprach mit einem Cyberkriminellen, der behauptete, die Cutlet Maker-Malware zu verkaufen.

„Ja, ich verkaufe. Es kostet 1.000 US-Dollar“, schrieben sie in einer E-Mail und fügten hinzu, dass sie auch Unterstützung bei der Verwendung des Tools anbieten können. Der Verkäufer stellte Screenshots einer Bedienungsanleitung auf Russisch und Englisch zur Verfügung, die potenzielle Benutzer durch das Leeren eines Geldautomaten führt. In den Abschnitten des Handbuchs wird beschrieben, wie Sie überprüfen können, wie viele Banknoten sich im Geldautomaten befinden, und wie Sie die Malware selbst installieren.

Die European Association for Secure Transactions (EAST), eine gemeinnützige Organisation, die Finanzbetrug verfolgt, gab in einem diesen Monat veröffentlichten Bericht an, dass Jackpot-Angriffe im Vergleich zum Vorjahr um 43 Prozent zurückgegangen seien. Es muss jedoch betont werden, dass der EAST-Bericht nur Europa abdeckt. „Es passiert in Teilen der Welt, wo man niemandem davon erzählen muss“, fügte die mit Geldautomatenangriffen vertraute Quelle hinzu. „Es nimmt zu, aber das größte Problem, das wir haben, ist, dass niemand dies melden möchte.“

Diese Senkung der Eintrittsbarriere für Geldautomaten-Malware hat wohl zum Teil zu einem Anstieg der Jackpot-Angriffe geführt. Im Januar 2018 begann der Secret Service, Finanzinstitute vor den ersten Jackpot-Angriffen in den USA zu warnen, obwohl diese eine andere Malware für Geldautomaten namens Ploutus.D verwendeten.

„Weltweit zeigt unsere Umfrage aus dem Jahr 2019, dass Jackpot-Angriffe zunehmen“, schrieb Tente von ATMIA in einer E-Mail.

Wie die mit Geldautomatenangriffen vertraute Quelle sagte: „Es gibt Angriffe, aber oft werden sie nicht veröffentlicht.“

Abonnieren Sie unseren neuen Cybersicherheits-Podcast CYBER.

Mit Ihrer Anmeldung stimmen Sie den Nutzungsbedingungen und der Datenschutzrichtlinie zu und stimmen dem Erhalt elektronischer Mitteilungen von der Vice Media Group zu, die Marketingaktionen, Werbung und gesponserte Inhalte umfassen können.