Вредоносная программа, вероятно, применявшаяся в ходе недавних ограблений в Таиланде и на Тайване, была обнаружена исследователями информационной безопасности из FireEye. Программа была названа RIPPER, поскольку в ее исходном коде был найден идентификатор ATMRIPPER.
Исследователи FireEye подчеркивают, что за несколько минут до того, как в издании Bangkok Post вышла первая статья, посвященная массовым ограблениям банкоматов в Таиланде, неизвестный, используя таиландский IP-адрес, загрузил на VirusTotal образец RIPPER.
В ходе анализа выяснилось, что RIPPER пользуется теми же техниками, что и вредоносные программы GreenDispenser, SUCEFUL и Padpin (Tyupkin). Подобно SUCEFUL, RIPPER может осуществлять контроль за работой кардридера и давать ему команду по считыванию данных с карты. RIPPER, как и Padpin, может отключить сетевой интерфейс банкомата. Чтобы удалить все следы своей работы, вредоносная программа может применять утилиту sdelete, которая входит в состав GreenDispenser. Кроме того, данная программа может обходить ограничения, которые были установлены компанией-производителем банкоматов, заставляя устройство выдавать свыше 40 купюр за один сеанс работы с картой.
Однако RIPPER имеет отличия от других подобных программ. По словам исследователей, RIPPER предназначен для заражения банкоматов производства трех известных компаний. Названия фирм не были обнародованы экспертами из соображений безопасности, но в отчете говорится, что в ходе ограблений банкоматов в Таиланде и на Тайване были инфицированы устройства именно этих производителей. В то же время власти этих стран ранее сообщали, что киберпреступники ограбили банкоматы, изготовленные немецкой корпорацией Wincor Nixdorf и американской компанией NCR.
RIPPER инфицирует машины сразу после того, как в банкомат была вставлена специальная карта с EMV-чипом.
По словам экспертов, применение этого способа подразумевает высокую степень технической изобретательности. В FireEye считают, кибератаки на банкоматы Таиланда и Тайваня требуют координации физических и виртуальных действий, что является свидетельством внушительной подготовки преступников.
