Банкоматы одного из крупнейших банков Украины, расположенные в местах с общим доступом, во всех регионах страны одновременно подверглись атаке вредоносного кода. Кассеты загруженных в выходные банкоматов в понедельник оказались пустыми, при этом следов физических атак на банкоматов обнаружено не было. Также при первичном осмотре на подвергнувшихся атаке банкоматах не удалось обнаружить сам вредоносный код, использовавшийся неизвестными злоумышленниками. Эта крупномасштабная акция на уровне целой страны, осуществлённая за одни выходные с последующим самоуничтожением орудия кибератаки, на данный момент является крупнейшей в своём роде.
Нацеленный на банкоматы и обладающий функционалом прямого вывода наличных денег вредоносный код под названием Ploutus впервые был обнаружен в Мексике в сентябре 2013 года. Уже тогда в среде профессионалов информационной безопасности возникло опасение, что в ближайшее время этот «троянец» выйдет на международный рынок. В октябре 2013 года появилась новая версия вредоносного кода — архитектура стала модульной, а интерфейс был переведён на английский язык. Особенностью Ploutus является отключение традиционных средств защиты заражаемой системы, позволяющее злоумышленникам устанавливать троян даже на системы с активированным антивирусом.
Традиционно наиболее трудоёмкой частью любой кибератаки с целью хищения денежных средств являлось превращение похищенной информации в наличные деньги, и появление семейства троянов для банкоматов Ploutus существенно упростило задачу злоумышленникам. В прошлом атаки на сети банкоматов должны были проводиться в несколько этапов, включающих в себя взлом баз данных платёжных систем или самих банков, благодаря чему время обнаружения атаки оставалось относительно небольшим. Атака, направленная непосредственно на программное обеспечение банкомата и не затрагивающая базы данных атакуемой организации, может быть обнаружена только постфактум.
«Мы оказались свидетелями беспрецедентного уровня кооперации среди киберпреступников, — рассказал Денис Гасилин, руководитель отдела маркетинга компании SafenSoft, разрабатывающей продукты обеспечения информационной безопасности банкоматов на основе проактивных технологий. — Уже происходили крупномасштабные интернациональные атаки на сети банкоматов одновременно во множестве стран, но ещё никогда не удавалось провести такую атаку, воздействуя только на сами банкоматы и не оставив никаких следов. Уровень кооперации на стороне киберпреступников уже давно находится на более высоком уровне, чем у защищающейся стороны, поэтому реактивные методы защиты не оправдывают себя. Защищаться от целевых атак с применением новейшего вредоносного кода можно только с помощью проактивных технологий».