Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,280
- Points
- 113
Взломанный RDP-доступ привел к заражению POS вредоносным ПО Backoff.
Секретная служба США в сотрудничестве с Trustwave обнаружила серию атак в секторе розничной торговли, в которых для заражения POS-систем используются специализированные вредоносные программы. Само преступление не является слишком техническим, поскольку преступники, стоящие за ним, используют плохо защищенные точки удаленного доступа, чтобы атаковать POS-терминал и заразить его.
Согласно сообщению CERT США, злоумышленники нацелены на плохо защищенные экземпляры RDP, включая службы от Microsoft, Apple, Chrome, Splashtop 2, Pulseway, LogMeIn и Join.Me.
Как только ресурс RDP обнаружен, злоумышленники, стоящие за этими недавними кампаниями, подбирают пароль учетной записи - если он вообще существует - и устанавливают вредоносное ПО для POS.
Атаки продолжаются с октября 2013 года и продолжаются в некоторых частях страны. Пока поставщики антивирусных программ не обновят сигнатуры, вредоносное ПО, используемое в этих атаках, практически не обнаруживается.
Trustwave, которая участвовала в расследовании, обнаружила как минимум три разновидности самого POS-вредоносного ПО (называемого Backoff) с тех пор, как они взялись за дело.
После установки вредоносная программа очищает память в поисках данных отслеживания карт, регистрирует нажатия клавиш и связывается извне с сервером управления и контроля для получения дополнительных инструкций. Скомпрометированная POS-система может раскрыть данные кредитных и дебетовых карт, имена и адреса, а также любую другую информацию, которая хранится в системе.
«За последний месяц мы увидели около 600 предприятий, в основном в сфере розничной торговли, зараженных вредоносным ПО Backoff. В настоящее время мы работаем только над четырьмя расследованиями, в каждом из которых преступники взламывали системы точек продаж с использованием украденных учетных данных. "Вредоносное ПО размещается в системе, собирает номера кредитных карт, шифрует информацию и отправляет ее на серверы, принадлежащие преступникам", - прокомментировал Карл Сиглер, менеджер по анализу угроз в Trustwave.
«Компании обычно покупают или арендуют системы PoS у поставщиков, которые специализируются на этой технологии. После установки систем PoS для бизнеса поставщики часто используют программное обеспечение удаленного доступа, чтобы помочь бизнесу исправить любые технические проблемы, которые могут возникнуть с этой технологией. Из-за слабых паролей и из-за отсутствия двухфакторной аутентификации злоумышленники смогли получить фактические учетные данные для входа в программное обеспечение удаленного доступа и внедрить вредоносное ПО в систему».
Ранее в этом месяце компания Information Systems & Supplies Inc., поставщик POS-терминалов и систем безопасности из Ванкувера, штат Вашингтон, уведомила клиентов о том, что в результате взлома удаленного доступа могут быть раскрыты данные карты. Согласно письму, которое IS&S разослало клиентам, злоумышленники нацелились на учетные записи LogMeIn.
Предлагая некоторые важные советы розничным торговцам, на которых может повлиять этот инцидент или которые обеспокоены тем, что они могут быть затронуты, Сиглер сказал, что первым шагом является обеспечение безопасности доступа.
«Поскольку исходной точкой опоры были плохие пароли в программном обеспечении удаленного доступа, надежные пароли необходимы, и переход на двухфакторную аутентификацию может значительно снизить их риск», - сказал он.
«Также имеет смысл изменить порты по умолчанию, используемые их программным обеспечением удаленного доступа. Многие программы грубой силы просто выполняли автоматическое сканирование на предмет значений по умолчанию. Если они не на тех портах по умолчанию, они могут попасть под злоумышленники» радар ".
Более того, мониторинг исходящего сетевого трафика через брандмауэр или журналы маршрутизатора, а также поиск аномалий или трафика, предназначенного для систем, находящихся вне их контроля, может помочь организациям выявить вредоносное ПО на раннем этапе.
Наконец, вышеупомянутая рекомендация US CERT подробно описывает несколько шагов по смягчению последствий и защитных мер, которые могут предпринять организации.
Такие шаги включают в себя включение мер блокировки, ограничение количества авторизованных пользователей для данной рабочей станции и ограничение разрешений учетной записи путем ограничения административного доступа.
Практически в каждом случае к зараженному POS был включен удаленный доступ для учетной записи с правами администратора, что давало злоумышленникам свободный доступ для установки всего, что они хотели.
Секретная служба США в сотрудничестве с Trustwave обнаружила серию атак в секторе розничной торговли, в которых для заражения POS-систем используются специализированные вредоносные программы. Само преступление не является слишком техническим, поскольку преступники, стоящие за ним, используют плохо защищенные точки удаленного доступа, чтобы атаковать POS-терминал и заразить его.
Согласно сообщению CERT США, злоумышленники нацелены на плохо защищенные экземпляры RDP, включая службы от Microsoft, Apple, Chrome, Splashtop 2, Pulseway, LogMeIn и Join.Me.
Как только ресурс RDP обнаружен, злоумышленники, стоящие за этими недавними кампаниями, подбирают пароль учетной записи - если он вообще существует - и устанавливают вредоносное ПО для POS.
Атаки продолжаются с октября 2013 года и продолжаются в некоторых частях страны. Пока поставщики антивирусных программ не обновят сигнатуры, вредоносное ПО, используемое в этих атаках, практически не обнаруживается.
Trustwave, которая участвовала в расследовании, обнаружила как минимум три разновидности самого POS-вредоносного ПО (называемого Backoff) с тех пор, как они взялись за дело.
После установки вредоносная программа очищает память в поисках данных отслеживания карт, регистрирует нажатия клавиш и связывается извне с сервером управления и контроля для получения дополнительных инструкций. Скомпрометированная POS-система может раскрыть данные кредитных и дебетовых карт, имена и адреса, а также любую другую информацию, которая хранится в системе.
«За последний месяц мы увидели около 600 предприятий, в основном в сфере розничной торговли, зараженных вредоносным ПО Backoff. В настоящее время мы работаем только над четырьмя расследованиями, в каждом из которых преступники взламывали системы точек продаж с использованием украденных учетных данных. "Вредоносное ПО размещается в системе, собирает номера кредитных карт, шифрует информацию и отправляет ее на серверы, принадлежащие преступникам", - прокомментировал Карл Сиглер, менеджер по анализу угроз в Trustwave.
«Компании обычно покупают или арендуют системы PoS у поставщиков, которые специализируются на этой технологии. После установки систем PoS для бизнеса поставщики часто используют программное обеспечение удаленного доступа, чтобы помочь бизнесу исправить любые технические проблемы, которые могут возникнуть с этой технологией. Из-за слабых паролей и из-за отсутствия двухфакторной аутентификации злоумышленники смогли получить фактические учетные данные для входа в программное обеспечение удаленного доступа и внедрить вредоносное ПО в систему».
Ранее в этом месяце компания Information Systems & Supplies Inc., поставщик POS-терминалов и систем безопасности из Ванкувера, штат Вашингтон, уведомила клиентов о том, что в результате взлома удаленного доступа могут быть раскрыты данные карты. Согласно письму, которое IS&S разослало клиентам, злоумышленники нацелились на учетные записи LogMeIn.
Предлагая некоторые важные советы розничным торговцам, на которых может повлиять этот инцидент или которые обеспокоены тем, что они могут быть затронуты, Сиглер сказал, что первым шагом является обеспечение безопасности доступа.
«Поскольку исходной точкой опоры были плохие пароли в программном обеспечении удаленного доступа, надежные пароли необходимы, и переход на двухфакторную аутентификацию может значительно снизить их риск», - сказал он.
«Также имеет смысл изменить порты по умолчанию, используемые их программным обеспечением удаленного доступа. Многие программы грубой силы просто выполняли автоматическое сканирование на предмет значений по умолчанию. Если они не на тех портах по умолчанию, они могут попасть под злоумышленники» радар ".
Более того, мониторинг исходящего сетевого трафика через брандмауэр или журналы маршрутизатора, а также поиск аномалий или трафика, предназначенного для систем, находящихся вне их контроля, может помочь организациям выявить вредоносное ПО на раннем этапе.
Наконец, вышеупомянутая рекомендация US CERT подробно описывает несколько шагов по смягчению последствий и защитных мер, которые могут предпринять организации.
Такие шаги включают в себя включение мер блокировки, ограничение количества авторизованных пользователей для данной рабочей станции и ограничение разрешений учетной записи путем ограничения административного доступа.
Практически в каждом случае к зараженному POS был включен удаленный доступ для учетной записи с правами администратора, что давало злоумышленникам свободный доступ для установки всего, что они хотели.
