Ekspertai iš teksto srauto išskyrė reikalingą informaciją ir jos pagrindu sukūrė YARA taisykles – paieškos mechanizmus, kurie padeda aptikti ir kategorizuoti tam tikrus kenkėjiškų programų pavyzdžius ir aptikti ryšį tarp jų, skelbiama „Kaspersky Lab“ pranešime. Aptiktas kenkėjiškos programinės įrangos pavyzdys pavadinimu „ATMitch“. Analizė leido nustatyti, kad taikant šį virusą, buvo apvogti bankai Rusijoje ir Kazachstane.
„Grupuotė greičiausiai iki šiol aktyvi. Tačiau tai ne priežastis panikuoti. Kad būtų užkirstas kelią tokiems kibernetiniams išpuoliams, nukentėjusios organizacijos informacinio saugumo specialistas turi turėti ypatingų žinių ir įgūdžių. Pirmiausia reikia žinoti, kad užpuolikai taiko įprastus teisėtus instrumentus, o po išpuolio kruopščiai pašalina visus buvimo sistemoje pėdsakus. Todėl reikia ypatingą dėmesį kreipti į atminties, kurioje dažniausiai ir slepiasi „ATMitch“, tyrimą“, – „Security Analyst Summit“ tarptautinėje kibernetinio saugumo konferencijoje papasakojo „Kaspersky Lab“ vyriausiasis antivirusų ekspertas Sergejus Golovanovas.
Kenkėjiška programinė įranga „ATMitch“ bankomatuose buvo diegiama ir paleidžiama nuotoliniu būdu iš užkrėsto banko korporatyvinio tinklo per finansų organizacijų taikomus nuotolinės bankomatų kontrolės instrumentus. Bankomate virusas elgėsi kaip teisėta programinė įranga, atlikdamas įrenginiui įprastas komandas ir operacijas, pavyzdžiui, užklausdavo apie banknotų skaičių kasetėse.
Gavę bankomato kontrolę, užpuolikai galėjo išsigryninti pinigus bet kuriuo metu tiesiog paspaudę vieną mygtuką. Paprastai vagystė prasidėdavo nuo to, kad sukčiai užklausdavo apie pinigų kiekį skirstytuve. Paskui siuntė komandą išduoti bet kokį skaičių banknotų iš bet kurios kasetės. Toliau reikėjo tik prieiti prie bankomato, pasiimti pinigus ir dingti. Visas vagystės procesas tetruko kelias sekundes. Baigiantis operacijai, kenkėjiška programa pati pasišalindavo iš bankomato.
