Sonic подтверждает факт взлома вредоносного ПО после того, как данные карты клиента попали в кардинг магазины по продаже карт

[Carding 4 Carders]

Sonic Drive-In, сеть ресторанов быстрого питания, насчитывающая более 3600 ресторанов в США, подтвердила наличие вредоносного ПО, которое затронуло еще неустановленное количество заведений.
Нарушение обнаружилось на прошлой неделе, когда журналист информационной безопасности Брайан Кребс заметил на подпольных форумах и в карточных магазинах множество деталей платежных карт, которые, по-видимому, исходили от клиентов Sonic.
IBM X-Force, подразделение IBM, специализирующееся на банковских троянах и финансовых преступлениях, вчера подтвердило выводы Кребса в своем блоге.
Позже в тот же день Sonic выпустил официальный пресс-релиз, в котором признал факт нарушения и предоставил клиентам инструкции по подписке на 24 месяца бесплатного обнаружения мошенничества и защиты от кражи личных данных.
Поскольку количество затронутых клиентов неизвестно, любой клиент, который использовал свою платежную карту в ресторанах Sonic Drive-In, по-видимому, имеет право на участие, судя по приветственному сообщению на домашней странице программы. Услуги по обнаружению мошенничества и защите от кражи личных данных предоставляются компанией Experian.

Реквизиты карты продаются под землей за 25-50 долларов.​

Кребс обнаружил предполагаемые украденные данные карты Sonic в кардинг магазине под названием Joker's Stash в составе пакета Firetigerrr, который содержал пять миллионов данных платежных карт.
IBM сообщила, что мошенники выставили партию FireTigerrr на продажу 18 сентября, но тот же самый пакет был также замечен тремя днями ранее, 15 сентября, на другом сервисе по борьбе с киберпреступностью, который проверяет действительность данных выставленных на продажу карт на предмет потенциальных мошенников.

Пакет Firetigerrr [Источник: Брайан Кребс]

В то время как Соник только сказал, что «вредоносное ПО» было виновато в взломе, мошенники, скорее всего, использовали вредоносное ПО PoS для кражи данных из сетей Соника.
В последнее время популярны вредоносные программы PoS, и только за последние два-три года было зарегистрировано множество инцидентов.

PoS-вымогатель?​

В электронном письме Bleeping Computer Джон Кристли, глобальный директор по информационной безопасности компании Netsurion, поставщика управляемых услуг безопасности для многопрофильных предприятий, считает, что следующим шагом в атаках вредоносного ПО PoS станет программа-вымогатель PoS.
«Если розничные торговцы не защищают себя должным образом, это не большая проблема», - сказал Кристли. «Вместо того, чтобы получить доступ к POS-терминалам сети для кражи кредитных карт в течение месяцев (или даже лет), киберпреступники могут развернуть программы-вымогатели, которые отключают POS-системы… фактически останавливая бизнес и всю прибыль».
«Это, скорее всего, побудит магазины немедленно заплатить выкуп, что позволит злоумышленникам получить прибыль в течение нескольких минут», - добавил Кристли. «И благодаря впечатляющему успеху глобальных эпидемий WannaCry и NotPetya, киберпреступники обращают внимание на то, что работает».

 

[Carding 4 Carders]

400 000 южнокорейских карт США выставлены на продажу в Интернете​

Подробная информация о примерно 400 000 платежных карт, связанных с финансовыми организациями и банками США и Южной Кореи, в настоящее время выставлена на продажу в Joker's Stash, крупнейшем кардинг магазине в Интернете.
Продавец этой огромного дампа карт назвал ценник в 1 985 835 долларов за полный набор при средней цене 5 долларов за запись и говорит, что покупатели должны ожидать, что уровень действительности будет около 30-40%.
Хотя база данных, содержащая 397 365 записей о картах, рекламируется как смесь карт из США и различных стран ЕС, на самом деле она состоит из 198 233 записей о южнокорейских картах (около 49,9% от общего количества), а 49,3% - из Банки и финансовые организации США.
«Следует отметить, что это самая крупная продажа южнокорейских записей в даркнете в 2020 году, что способствует растущей популярности дампов карт, выпущенных странами Азиатско-Тихоокеанского региона», - утверждают исследователи в области безопасности Group-IB, обнаружившие База данных платежных карт выставлена на продажу 9 апреля.

Детали карты не собираются в атаках Magecart​

"База данных данных кредитной и дебетовой карты в основном содержит информацию о дорожке 2 - данные, хранящиеся на магнитной полосе карты, которая включает банковский идентификационный номер (BIN), номер счета, дату истечения срока действия и может также включать проверку карты. значение (CVV)», - пояснили исследователи.
Данные Track 2, которые хранятся на магнитных полосах платежных карт, обычно собираются с зараженного POS-терминала, снимаются с банкоматов или собираются в результате взлома платежных систем торговцев.
Однако, как сообщили в своем отчете исследователи безопасности Group-IB, источник украденных данных платежных карт до сих пор неизвестен.
На данный момент единственный известный факт об этой базе данных заключается в том, что записи не были украдены с сайтов электронной коммерции в результате атак Magecart, в которых никогда не использовались данные Track 2.

Тайник Джокера
«Несмотря на то, что на этой свалке недостаточно информации для совершения покупок в Интернете, мошенники, покупающие эти данные, могут обналичить украденные записи», - сказал старший аналитик Group-IB Threat Intelligence Шон Тэй.
«Если орган, выдающий карты, не обнаруживает незамедлительно нарушение, мошенники обычно производят клонированные карты (« белый пластик ») и быстро снимают деньги через банкоматы или используют клонированные карты для незаконных личных покупок.
«Постоянный скрытый мониторинг скомпрометированных личных и платежных записей своих клиентов дает банкам и финансовым организациям возможность снизить риски и дальнейший ущерб, быстро блокируя украденные карты и отслеживая источник взлома».
Group-IB проинформировала организации по совместному использованию финансовых ресурсов США и Южной Кореи и национальные CERT стран об этом инциденте, чтобы снизить риски утечки, и компания работает над тем, чтобы связаться со всеми затронутыми сторонами.

В 2021 году будет продано более 1 миллиона южнокорейских карт​

Согласно отчету исследователей безопасности Gemini Advisory, в прошлом году в онлайн-продажу были выставлены реквизиты более 1 миллиона южнокорейских платежных карт.
В то время средняя цена за запись составляла около 40 долларов США, «значительно превышая среднюю цену южнокорейских CP-записей в даркнете в целом, которая составляла примерно 24 доллара США».
«Gemini Advisory наблюдала 42000 скомпрометированных записей CP, выпущенных в Южной Корее, выставленных на продажу в даркнете в мае 2019 года, что в целом соответствует ежемесячным добавлениям за последние два года», - заявили исследователи.
«Тем не менее, в июне 2020 года было 230 000 записей, что на 448% больше. Июль был еще более резким: 890 000 записей, что на 2,019% больше контрольного показателя мая».