Door deze malware gaan pinautomaten spontaan met geld strooien

Op een ochtend liep een bankmedewerker in het Duitse Freiburg langs een geldautomaat, en zag hij dat er iets niet helemaal pluis was.

Het ding bleek gehackt te zijn met de malware ‘Cutlet Maker’, die ervoor zorgt dat de automaat alles eruit laat komen. Dat vertelt een medewerker van de politie, die bekend is met de zaak. Op het scherm verscheen de tekst "Ho-ho-ho! Laten we vandaag wat cutlets [karbonades, red.] bakken!” en plaatjes van een kok en een lachend lapje vlees. Het lijkt om een Russisch woordgrapje te gaan, waar het woord ‘cutlet’ ook kan verwijzen naar een stapel bankbiljetten.

Een gezamenlijk onderzoek van Motherboard en de Duitse regionale omroep Bayerischer Rundfunk (BR) heeft tot nieuwe informatie geleid over de golf van ‘jackpotting’-aanvallen op Duitse geldautomaten in 2017, waar dieven ruim een miljoen euro mee buitmaakten. Jackpotting is een techniek waarbij cybercriminelen malware of hardware gebruiken om een geldautomaat al het geld dat erin zit, eruit te laten komen. Meestal installeren hackers de malware zelf op de pinautomaat, door een paneel te openen waardoor je bij een USB-ingang kan komen.

In een aantal gevallen zijn we erachter gekomen welke bank en fabrikant het slachtoffer is. Hoewel het aantal jackpotting-aanvallen volgens een Europese ngo in het afgelopen half jaar is gedaald, zeggen meerdere bronnen dat ze in andere delen van de wereld juist meer plaatsvinden. Het gaat dan met name om Noord- en Zuid-Amerika en Zuidoost-Azië, en banken en fabrikanten in de gehele financiële industrie ondervinden de gevolgen.

“De VS is vrij populair,” zegt een bron die bekend is met de aanvallen. Motherboard en BR hebben meerdere bronnen toegezegd dat ze anoniem kunnen blijven, waaronder wetshandhavers, zodat ze met meer openheid over de hack-incidenten kunnen praten.

Tijdens de jaarlijkse hackersconferentie Black Hat in 2010, demonstreerde de inmiddels overleden onderzoeker Barnaby Jack zijn eigen geldautomaat-malware live op het podium. Toen het woord ‘jackpot’ op het scherm verscheen juichte het publiek, en stroomden de bankbiljetten er massaal uit.

Precies dat is er dus nu aan de hand, maar dan in het echt.

Bij de geldautomaat in Freiburg was volgens de handhaver geen geld gestolen. Wel zegt Christoph Hebbecker, officier van justitie in de deelstaat Noordrijn-Westfalen, dat er tien incidenten onderzocht worden die plaatsvonden tussen februari en november 2017 waarbij wel degelijk biljetten zijn meegenomen, met een totale waarde van 1,4 miljoen euro.

Hebbecker denkt dat er één partij verantwoordelijk is voor deze aanvallen, aangezien ze erg op elkaar lijken. Bij een paar gevallen hebben de aanklagers ook videobewijs, maar tot dusver zijn er nog geen verdachten. “Het onderzoek loopt nog,” laat hij in een e-mail weten.

Meerdere bronnen zeggen dat onder andere de bank Santander het slachtoffer was van een aantal aanvallen in 2017. Met name de geldautomaat Wincor 2000xe – een model van de fabrikant Diebold Nixdorf – zou het doelwit zijn geweest.

“We gaan in principe niet in op afzonderlijke zaken,” zegt Bernd Redecker aan de telefoon, de verantwoordelijke voor bedrijfsbeveiliging en fraudebeheer van Diebold Nixdorf. “Maar we zijn ons natuurlijk bewust van deze gevallen, en zijn erover in gesprek met onze klanten.”

Een woordvoerder van Santander laat in een e-mail het volgende weten: “Het beschermen van onze klantgegevens en de integriteit van ons netwerk is voor ons een kernbelang. Onze deskundigen zijn betrokken bij ieder stadium van de ontwikkeling van het product, en de maatregelen om klanten en de bank zelf voor fraude en cyberdreigingen te beschermen. Omdat we niks prijs kunnen geven over onze gegevens en maatregelen, kunnen we ook niet ingaan op specifieke veiligheidsproblemen.”

Ambtenaren in Berlijn zeggen dat ze minstens 36 jackpotting-zaken hebben gezien sinds de lente van 2018, waarbij duizenden euro’s zijn gestolen. Welke specifieke malware daarbij gebruikt werd wilden ze niet vertellen. In totaal hebben er de afgelopen jaren in heel Duitsland 82 aanvallen plaatsgevonden, volgens politiewoordvoerders, al waren ze niet allemaal even succesvol.

Het is belangrijk om te benadrukken dat jackpotting niet alleen bij deze bank of fabrikant hebben plaatsgevonden – Santander en Diebold Nixdorf zijn slechts de namen die we bij ons onderzoek tegenkwamen. “De aanvallen zij niet speciaal gericht op één specifieke automaat of merk, en zeker niet op één regio,” zegt Redecker.

Een deel van het probleem is dat veel van deze geldautomaten in feite gedateerde Windows-computers zijn. “Het zijn hele oude machines,” zegt een bron met kennis van de aanvallen.

Redecker van Diebold Nixdorf benadrukt dat fabrikanten hun beveiliging hebben verbeterd. Maar dat betekent niet dat bij iedere geldautomaat dezelfde standaard gehanteerd is. En ook de banken zijn er natuurlijk voor verantwoordelijk dat het geld van hun klanten veilig is.

“Om een jackpotting-aanval uit te voeren moet je toegang hebben tot de interne componenten van de automaat,” zegt David N. Tente, uitvoerend directeur van de ATM Industry Association in een e-mail. “Om een aanval te voorkomen is het dus belangrijk om fysieke aanvallen te verhinderen.”

Redecker zegt dat, zover hij weet, er wereldwijd al dit soort aanvallen plaatsvinden sinds 2012, en in Duitsland sinds 2014.

In 2017 publiceerden onderzoekers van antivirusbedrijf Kaspersky een studie die liet zien dat Cutlet Maker al sinds mei dat jaar op hackersfora werd verkocht. Iedereen met een paar duizend euro kon het zo kopen, om vervolgens zelf een geldautomaat te grazen te nemen.

“Er zijn mensen die deze malware gewoon verkopen, aan wie dan ook,” zegt David Sancho, senior onderzoeker van het cyberbeveilingsbedrijf Trend Micro, die ook met Europol onderzoek doet naar jackpotting. Daardoor kunnen ook kleinere groepen of individuen geldautomaten aanvallen. “Het kan in ieder land ter wereld gebeuren,” zegt hij.

Motherboard sprak één cybercrimineel die zegt Cutlet Maker te verkopen.

“Ik verkoop het voor duizend dollar,” schreef hij in een e-mail. Hij was ook bereid om toe te lichten hoe je de malware precies moet gebruiken. Hij stuurde screenshots van een gebruikershandleiding in het Russisch en Engels, waarin je in stappen uitgelegd krijgt hoe je een geldautomaat moet leegroven. Je leert onder andere hoe je kunt zien hoeveel bankbiljetten er nog in de automaat zitten, en hoe je de malware moet installeren.

De Europese Associatie voor Veilige Transacties (EAST), een ngo die financiële fraude onderzoekt, zegt in een rapport dat deze maand gepubliceerd is dat het aantal jackpotting-aanvallen vorig jaar is gedaald met 43 procent. Maar daarmee hebben we het wel alleen over Europa.

“Het gebeurt ook op andere plekken in de wereld – het grootste probleem is dat niemand er melding van wil maken,” zegt onze bron met kennis van de aanvallen.

Omdat het steeds makkelijker is om aan dit soort malware te komen, vinden er ook meer en meer jackpotting-aanvallen plaats. In januari 2018 waarschuwde de Amerikaanse veiligheidsdienst dat er ook aanvallen in de VS plaatsvonden, maar dan met een andere malware: Ploutus D.

“We zien dat er wereldwijd steeds meer jackpotting-aanvallen plaatsvinden,” zegt Tente in zijn e-mail.

Zoals onze bron zegt: “Er vinden aanvallen plaats, maar je hoort er meestal niks over.”

Dit artikel verscheen oorspronkelijk bij VICE US.