Les autorités européennes ont démantelé un groupe de cybercriminels impliqués dans le piratage de distributeurs automatiques de billets. En Roumanie et en Moldavie, l'opération a abouti à l'arrestation de huit individus.

Tyupkin Les cybercriminels avaient recours à un malware dénommé Tyupkin pour vider des distributeurs de billets fabriqués par la société NCR. Fin 2014, les chercheurs en sécurité de Kaspersky Lab nous en apprenaient davantage sur le mode opératoire lié à Tyupkin.

Les machines prises pour cible fonctionnaient avec une version 32 bits de Windows. L'infection avaient lieu suite à un accès physique et l'insertion d'un CD bootable contenant le malware. Après infection, le malware se mettait en attente d'instructions.

Généralement les dimanches et lundis soirs, Tyupkin acceptait les commandes d'un individu se rendant sur les lieux et agissant pour le compte du groupe de cybercriminels. Sur le clavier du distributeur, il saisissait un code secret permettant d'obtenir un numéro unique et aléatoire communiqué par téléphone à un membre du groupe.

Une clé de session était alors générée en fonction du numéro communiqué. Avec cette clé, l'interface de Tyupkin affichait le contenu de chaque cassette de billets et permettait de choisir celle à délester de jusqu'à 40 billets à la fois, et ainsi de l'ordre de 900 € à chaque attaque. Le malware s'effaçait alors automatiquement.

Si les têtes pensantes du groupe avaient pris de telles précautions dans le but de garder le contrôle des transactions frauduleuses et dissimuler leurs actes, elles ont été imprudentes par la suite. Après s'être focalisées sur des machines en Roumanie, les attaques ont été étendues à d'autres pays en Europe (Allemagne, France, Hongrie, Norvège, Pologne et Suède). Puis, les cybercriminels ont commencé à discuter de leurs attaques sur Facebook Messenger et Skype.

Cet excès de confiance - et forme d'arrogance - a aidé à mettre les autorités sur leur piste. Il risque désormais de leur coûter cher.



Une vidéo de Kaspersky Lab pour voir Tyupkin en action 

Source : Europol