Un caso di attacco fileless
Non è stato facile trovare delle prove sulla scena del crimine. I criminali avevano rubato tutto il contante presente nell’ATM senza scassinarlo fisicamente o lasciare altri segni di manomissioni. Gli investigatori hanno fatto ricorso ai file log, un registro degli eventi che hanno riguardato il sistema informatico della macchina, e solo così hanno scoperto la tecnica utilizzata dai criminali. Un virus chiamato “ATMitch”, già individuato in Kazakistan e in Russia, che viene immediatamente cancellato una volta entrato in azione e completato l’attacco: una metodologia chiamata violazione fileless.
La tecnica utilizzata
Come è avvenuto il furto di denaro? Dalla ricostruzione degli esperti sembra che il malware è stato installato ed eseguito da remoto su un ATM dall’interno della banca attraverso lo strumento di amministrazione remota. ATMitch è stato poi scambiato dallo sportello per un software legittimo: i criminali hanno quindi potuto lanciare una serie di comandi e raccogliere informazioni sulle banconote nei cassetti dell’ATM. A questo punto è bastato premere un tasto e il denaro è stato erogato a comando.