近三年ATM攻击分析

针对ATM的攻击历史悠久，攻击者每年都会进一步提高感染ATM系统的能力，根据2017年至2019年数据分析，2020年ATM攻击又会有何变化？

数据分析

一次成功的ATM攻击可以获利数十万美元，与传统的金融威胁（例如网络钓鱼、欺诈网站）有所不同，ATM需要连接到公司内部网络，同时外部任何用户都能够访问它们，由此使得攻击方法不同于传统。

ATM还具有一些共同的特征，这些特征使它们特别容易受到攻击：

供应商为软件提供保修服务，如果未经ATM供应商批准进行更改，则供应商不再提供保修 使用过时的操作系统及应用程序，犯罪分子可以利用未修补的漏洞获得对内部的访问权限 选择人流密集的位置安放设备，但有些地方没有任何基本的安全保护

分析了过去三年来全球范围内的数据，过去三年中被攻击的ATM/PoS设备数量：

2017年

2017年受攻击设备地区分布：

2017年受攻击TOP10国家：

TOP10国家分布在全球各地，其中俄罗斯数量最多。2017年研究人员发现名为“ ATMitch”的恶意软件，该恶意软件可获得ATM的远程访问控制。

2018年

2018年受攻击设备地区分布：

2018年受攻击TOP10国家：

2018年受攻击国家/地区仍分布在全球各地，与2017年相似，俄罗斯和巴西的攻击数量最高。

受影响设备数量总体增长，出现了新的ATM恶意软件家族：

ATMJackpot最早于2016年在中国台湾出现。它感染了银行的内部网络，可以直接从ATM提取资金。ATMJackpot能够访问数千个ATM。 WinPot于2018年初在东欧被发现，可使被感染的ATM自动转账。其执行与时间有关：如果目标系统的时间不在该恶意软件预设时间（例如3月）内，WinPot会保持静默。 Ice5起源于拉丁美洲，允许攻击者对受感染的ATM进行操纵，最初通过USB端口传播。 ATMTest通过控制台访问ATM，攻击者必须获得银行网络的远程访问权。 Peralta是ATM恶意软件Ploutus的变体，导致73,258台ATM被攻击，损失了64,864,864.00美元。 ATMWizX于2018年秋季被发现，可使被感染的ATM自动转账。 ATMDtruck也出现在2018年秋天，第一批受害者在印度。它利用受感染ATM收集信息，完成克隆。

2019年

2019年受攻击设备地区分布：

2019年受攻击TOP10国家：

过去的一年中，ATM/PoS恶意软件活动最高的前十个国家保持不变,受影响设备总数再次增加。2019年春季，ATM/PoS恶意软件活动达到新的水平。

ATMgot可通过自动提款机在ATM上直接操作，提取允许的最大数量。该恶意软件还具有反取证技术，可从ATM删除感染痕迹以及视频文件。 ATMJadi起源于拉丁美洲，攻击者必须访问银行网络。

趋势分析

ATM/PoS恶意软件还会继续发展，目前已经发现WinPot，它于2018年首次发现，今年仍然活跃于世界各地。

拉丁美洲长期以来是网络犯罪分子技术创新发展的地区，最近发现ATM MaaS项目，攻击组织出售针对市面上主要ATM的恶意软件。表明ATM恶意软件仍在不断发展，网络犯罪分子不断开发出更好的攻击策略。除拉丁美洲外，欧洲和APAC地区国家是攻击者特别感兴趣的国家，ATM已经成为全球威胁。

对于金融机构而言，需要采取综合性防御措施：

评估攻击媒介，生成威胁模型 更新已过时操作系统和软件 定期进行ATM的安全评估，渗透测试，查找可能的网络攻击媒介 定期检查ATM物理安全 安装防护软件

PoS终端有许多不同之处需要注意并加以相应处理：

PoS终端可为攻击者提供更大的操作空间，需要多层保护 缺少像自动取款机的外部物理保护，更容易受到未经授权的直接攻击。 结合攻击场景，实施文件完整性监视和日志检查 安装Web网关或下一代防火墙，检测阻止未经请求的通信

*参考来源：securelist，由Kriston编译，转载请注明来自FreeBuf.COM