Acasă Securitywatch Cum malware-ul răzuitorului a furat date de la țintă, neiman marcus

Cum malware-ul răzuitorului a furat date de la țintă, neiman marcus

Video: Cei mai periculosi VIRUSI informatici din istorie (Noiembrie 2024)

Video: Cei mai periculosi VIRUSI informatici din istorie (Noiembrie 2024)
Anonim

În timp ce Target își păstrează în continuare muma cu privire la modul în care atacatorii au reușit să încalce rețeaua sa și să transmită informații aparținând mai mult de 70 de milioane de cumpărători, știm acum că în atacul a fost folosit programul de răzuire RAM.

"Nu știm în întregime ce a decurs, dar ceea ce știm este că a existat malware instalat pe registrele noastre de vânzare. Atât am stabilit", a declarat CEO-ul Târgului, Gregg Steinhafel, într-un interviu pentru CNBC discută despre încălcarea recentă. Compania a declarat inițial că informațiile privind cardul de plată pentru 40 de milioane de persoane care au cumpărat la unul dintre magazinele sale de vânzare în perioada de sărbători au fost compromise. Target a spus săptămâna trecută că informațiile personale pentru 70 de milioane de persoane au fost, de asemenea, furate și că orice cumpărător care a venit la magazine în 2013 era în pericol.

Surse fără nume au spus Reuters în weekend că malware-ul folosit în atac a fost un răzuitor de memorie RAM. Un răzuitor RAM este un tip specific de malware care vizează informațiile stocate în memorie, spre deosebire de informațiile salvate pe hard disk sau care sunt transmise prin rețea. În timp ce această clasă de malware nu este nouă, experții în securitate spun că a existat o situație recentă în ceea ce privește numărul atacurilor împotriva comercianților care folosesc această tehnică.

Atacând memoria

Răzuitoarele RAM privesc în memoria computerului pentru a prelua date sensibile în timp ce acestea sunt procesate. În conformitate cu normele actuale ale standardului de securitate a datelor cu carduri de plată (PCI-DSS), toate informațiile de plată trebuie criptate atunci când sunt stocate în sistemul PoS, precum și când sunt transferate în sisteme de back-end. În timp ce atacatorii pot încă să fure datele de pe hard disk, nu pot face nimic cu ea dacă sunt criptate, iar faptul că datele sunt criptate în timp ce călătoresc prin rețea înseamnă că atacatorii nu pot înghiți traficul pentru a fura nimic.

Acest lucru înseamnă că există doar o mică fereastră de oportunitate - în momentul în care software-ul PoS prelucrează informațiile - pentru atacatori să preia datele. Software-ul trebuie să decripteze temporar datele pentru a vedea informațiile despre tranzacție, iar malware-ul preia acel moment pentru a copia informațiile din memorie.

Creșterea malware-ului de răzuire a RAM poate fi legată de faptul că retailerii se îmbunătățesc la criptarea datelor sensibile. "Este o cursă de arme. Aruncăm un blocaj rutier, iar atacatorii se adaptează și căutăm alte modalități de a apuca datele", a declarat Michael Sutton, vicepreședinte al cercetării de securitate la Zscaler.

Doar un alt program malware

Este important să ne amintim că terminalele la punctul de vânzare sunt în esență computere, deși cu periferice precum cititoare de carduri și tastaturi atașate. Au un sistem de operare și rulează software pentru a gestiona tranzacțiile de vânzare. Acestea sunt conectate la rețea pentru a transfera datele de tranzacție către sisteme de back-end.

La fel ca orice alt computer, sistemele PoS pot fi infectate cu malware. „Încă se aplică reguli tradiționale”, a declarat Chester Wisniewski, un consilier senior în domeniul securității la Sophos. Sistemul PoS poate fi infectat, deoarece angajatul a folosit computerul respectiv pentru a merge pe un site Web care găzduiește malware, sau a deschis accidental un atașament rău intenționat la un e-mail. Programul malware ar fi putut exploata software-ul neatacat pe computer sau oricare dintre numeroasele metode care duc la infectarea unui computer.

„Cu cât muncitorii din magazin au un privilegiu mai mic în terminalele de vânzare, cu atât este mai puțin probabil să se infecteze”, a spus Wisniewski. Mașinile care procesează plățile sunt extrem de sensibile și nu ar trebui să permită navigarea pe Web sau instalarea aplicațiilor neautorizate, a spus el.

Odată ce computerul este infectat, programul malware caută anumite tipuri de date în memorie - în acest caz, numere de carduri de credit și debit. Când găsește numărul, îl salvează într-un fișier text care conține lista tuturor datelor pe care le-a colectat deja. La un moment dat, malware-ul trimite apoi fișierul - de obicei prin rețea - către computerul atacatorului.

Oricine este o țintă

În timp ce comercianții cu amănuntul sunt în prezent o țintă pentru a analiza malware, Wisniewski a declarat că orice organizație care gestionează carduri de plată ar fi vulnerabilă. Acest tip de malware a fost inițial folosit în sectoarele ospitalității și educației, a spus el. Sophos se referă la răzuitoarele RAM ca Trojan Trackr, iar alți furnizori le numesc Alina, Dexter și Vskimmer.

De fapt, răzuitoarele RAM nu sunt specifice doar sistemelor PoS. Sutton a spus că infractorii cibernetici pot împacheta malware-ul pentru a fura date în orice situație în care informațiile sunt de obicei criptate.

Visa a emis două alerte de securitate în aprilie și august anul trecut avertizând comercianții de atacuri folosind malware PoS care analizează memoria. "Din ianuarie 2013, Visa a înregistrat o creștere a intruziunilor rețelei care implică comercianți cu amănuntul", a spus Visa în august.

Nu este clar modul în care malware-ul a ajuns în rețeaua Target, dar este clar că ceva nu a reușit. Programul malware nu a fost instalat pe un singur sistem PoS, ci pe multe computere din toată țara și „nimeni nu a observat”, a spus Sutton. Și chiar dacă malware-ul era prea nou pentru ca antivirusul să-l detecteze, faptul că transfera date din rețea ar fi trebuit să ridice steaguri roșii, a adăugat el.

Pentru cumpărătorul individual, nefolosirea cărților de credit nu este chiar o opțiune. Acesta este motivul pentru care este important să monitorizați în mod regulat situațiile și să urmăriți toate tranzacțiile din conturile lor. „Trebuie să aveți încredere în retaileri cu datele dvs., dar puteți, de asemenea, să stați vigilenți”, a spus Sutton.

Cum malware-ul răzuitorului a furat date de la țintă, neiman marcus