DÉFINITION DU VIRUS

Type de virus : virus/programme malveillant
Également appelé : Backdoor.MSIL.Tyupkin

Qu’est-ce que le virus Tyupkin ?

Tyupkin est un programme malveillant permettant aux cybercriminels de vider des distributeurs automatiques par manipulation directe. Ce programme malveillant, détecté par Kaspersky Lab sous le nom de Backdoor.MSIL.Tyupkin, affecte les DAB d’un important fabricant de distributeurs de billets qui fonctionnent sous Microsoft Windows 32-bit.

La cybermenace en détail

Les cybercriminels suivent deux étapes :

Étape 1 : accéder et infecter

Ils commencent par accéder physiquement à un DAB et y insèrent un CD de démarrage pour installer le programme malveillant ; le code est appelé Tyupkin (Backdoor.MSIL.Tyupkin). Après avoir été redémarré, le DAB est sous leur contrôle.

Étape 2 : contrôler et voler

Le DAB fonctionne ensuite en boucle infinie, dans l’attente d’un ordre. Afin que l’arnaque soit plus difficile à détecter, le programme malveillant Tyupkin accepte uniquement les ordres à des moments spécifiques les dimanche et lundi soirs. C’est à ces moments-là que les cybercriminels peuvent voler l’argent à partir de la machine infectée.

Méthodologie

Les enregistrements vidéos des caméras de sécurité des DAB infectés ont montré la méthodologie utilisée pour accéder à l’argent à partir des machines. Une nouvelle combinaison de chiffres unique et aléatoire est générée pour chaque session. Cela permet de garantir qu’aucune personne hors du groupe de cybercriminels ne profite accidentellement de la fraude. L’opérateur malveillant reçoit ensuite des instructions par téléphone de la part d’un autre membre du groupe de cybercriminels qui connaît l’algorithme et qui est capable de générer une clé de session basée sur le nombre affiché. Cela permet de garantir que les mules qui récupèrent l’argent n’essayent pas d’agir seules.

Lorsque la clé est saisie correctement, le DAB affiche la somme disponible dans chacun des coffres. L'opérateur n'a plus qu'à choisir le coffre à dérober. Ensuite, le distributeur automatique délivre 40 billets à la fois issus du coffre choisi.

Dans quels pays le virus Tyupkin infecte-t-il les DAB ?

Selon les statistiques fournies par VirusTotal, le programme malveillant a été enregistré dans les pays suivants :

Tyupkin Activity by Country

Pays dans lesquels le programme malveillant Tyupkin est opérationnel

Conseils de sécurité concernant les DAB pour les opérateurs/banques

  • Examinez la sécurité physique de vos DAB et envisagez d’investir dans des solutions de sécurité de qualité.
  • Remplacez toutes les clés principales et les serrures situées sur le capot supérieur des DAB et n’utilisez pas les éléments fournis à la base par le fabricant.
  • Installez une alarme et veillez à son bon fonctionnement. Les cybercriminels derrière Tyupkin ont infecté uniquement les DAB dépourvus de systèmes d’alarme de sécurité.
  • Modifiez le mot de passe BIOS par défaut.
  • Vérifiez que les machines disposent d’une protection antivirus à jour
  • Surveillez les attaques d’ingénierie sociale perpétrées par des criminels susceptibles de se faire passer pour des inspecteurs des alarmes de sécurité, des caméras de sécurité ou d’autres appareils dans vos locaux.
  • Prenez les alarmes anti-intrusion au sérieux et agissez en conséquence en signalant chaque violation potentielle aux autorités policières.
  • Pour obtenir des conseils sur la manière de procéder pour vérifier que vos DAB ne sont pas infectés, contactez Kaspersky Lab à l’adresse suivante : intelreports@kaspersky.com. Pour exécuter une analyse complète du système du DAB et supprimer le backdoor, utilisez gratuitement Kaspersky Virus Removal Tool (disponible ici).

Vidéo : faille de sécurité d’un DAB infecté par le virus Tyupkin

Tupkin Video ATM Breach

Visionnez la vidéo sur la faille de sécurité d’un DAB infecté par le virus Tyupkin

Autres articles et liens en rapport avec les cybermenaces