Proxopotamus:
вы серьёзно?
Вполне.
Добавлено спустя 53 секунды
MaxRusak:
В дефолтных системах Radmin отсутствует.
Да.
Добавлено спустя 1 минута 35 секунд
MaxRusak:
Так вне сборок Radmin не ставится.
Кто Вам сказал. На лицуху вполне можно установить Radmin.
Добавлено спустя 41 секунда
MaxRusak:
Но не в банковских терминалах.
Ссылка выше.
Добавлено спустя 58 секунд
MaxRusak:
да еще и с настройками создателя zver вы не обнаружите.
Тааак вот как Radmin оказывался у "ломаемых" пользователей...
Добавлено спустя 2 минуты 43 секунды
Анализ журналов системы защиты подтвердил перемещения в сети со скомпрометированных компьютеров, в том числе подтвердились факты подключений к банкоматам с помощью RAdmin. В инфраструктуре атакованного банка это ПО активно используется администраторами для удаленного управления, среди прочего, и банкоматами.
Сеть банкомата не была отделена от основной локальной сети и, видимо, от Интернета тоже, а специалисты по ИБ даже не заметили, что в банк ломятся неизвестные.
Кстати, если вы используете Dr.Web, то старт RAdmin (или другого средства удаленного управления) вызывает предупреждение о запуске потенциально опасной программы.
Были скомпрометированы рабочие станции ключевых сотрудников, критически важные серверы, в том числе терминальный сервер и контроллер домена. Кроме того, злоумышленники получили пароли практически всех пользователей компании, включая учетные записи администраторов, что позволило беспрепятственно перемещаться внутри сети.
За одну ночь из 6 банкоматов банка были похищены денежные средства в размере, эквивалентном 2 213 056 российским рублям в местной валюте.
Чтобы получить наличные из банкоматов, использовались подставные лица (дропы). Один из таких дропов, гражданин Молдавии, был задержан с поличным правоохранительными органами при выемке банкнот.