Arkoon Netasq analiza los continuos ataques a Sistemas de Punto de Venta y ofrece claves para contrarrestarlos

Fecha: Vie, 27/11/2015 - 13:10 Fuente: Arkoon Netasq

Un equipo de expertos de Arkoon Netasq muestra lo sencillo que es realizar un ataque de bajo coste contra un Sistema de Punto de Venta (PoS). Con una breve lista de 152 contraseñas débiles, un atacante es capaz de controlar una gran cantidad de PoS

Arkoon Netasq analiza los continuos ataques a Sistemas de Punto de Venta y ofrece claves para contrarrestarlos

Pierre Calais, CEO de Arkoon Netasq

Imagen cortesía de Arkoon Netasq

Arkoon Netasq, filial de Airbus Defence and Space y actor clave en el mercado europeo de la ciberseguridad, se ha hecho eco de los continuos ataques dirigidos contra Sistemas de Punto de Venta (PoS, por sus siglas en inglés) un tema muy en boga, actualmente.
Tras cada irrupción producida sobre un sistema PoS, los medios hablan de "ataques sofisticados" que requieren de "habilidades excepcionales" y "herramientas precisas". Sin embargo, lo cierto es que, a veces, puede ser muy fácil comprometer un Punto de Venta para robar información confidencial, como números de tarjetas de crédito. No es necesario poseer habilidades particulares; en Internet es sencillo encontrar, deambulando en estado salvaje, una gran cantidad de malware creado específicamente para PoS (jackPOS, gamaPOS, Backoff, FighterPOS...).
Bajo esta perspectiva, y a fin de exponer lo simple que puede ser realizar un ataque de bajo coste contra un PoS, un equipo de expertos en seguridad de Arkoon Netasq ha realizado un análisis de un caso concreto, mostrando el proceso interno de la infección.

Anatomía de un Ataque: Win32.Ardamax
Ardamax es un ejemplo clásico de lo que es un keylogger comercial disponible en Internet. Tras instalarse en un ordenador, se ejecuta automáticamente durante el arranque del equipo, grabando información para enviarla, por ejemplo, a un servidor FTP. Los hackers pueden acceder fácilmente a dicho servidor FTP (el login y la contraseña están incrustados en la muestra) para obtener datos actualizados de las víctimas.
"Todo comenzó con una muestra del troyano Win32.Ardamax encontrada en estado salvaje. Tras efectuar un análisis de “reversing” (ingeniería inversa) de dicha muestra, los datos de los archivos de malware fueron subidos a un servidor FTP alojado en Alemania, en server4you. Dicho FTP, utilizado desde octubre de 2014, contenía la muestra original Win32.Ardamax, malware (Darkomet, Andromeda, Gorynych...), algunos raspadores de memoria para recuperar los números de tarjetas de crédito y rastreados (crawlers) de sitios web que escanean su contenido. Igualmente, en el mismo repositorio se podían encontrar capturas de pantalla, grabaciones de micrófono, imágenes realizadas a través de una webcam, así como registros de de pulsaciones de teclas por cada ordenador infectado. Los delincuentes habían tenido acceso a unos 15 PoS así como a algunos sistemas SCADA", comentan en su artículo el equipo de investigación de Arkoon Netasq.
"Tras contactar con diversos CERTs y responsables de diferentes compañías para proceder a la limpieza de sus equipos, comprobamos que, a pesar de ello, nuevos datos procedentes de PoS eran cargados a diario en el repositorio FTP. Los delincuentes estaban utilizando una herramienta de fuerza bruta de VNC (Computación Virtual en Red) contra un amplio rango de direcciones IP. Dicha herramienta, además, podía obtenerse de un archivo subido a la página web VirusTotal".

Cuidado con las contraseñas débiles
Efectivamente, el uso de ordenadores infectados para acceder a servidores VNC con contraseñas débiles es sencillo. Cuando se establece una nueva conexión VNC, un nuevo payload (carga dañina de un virus) se descarga a través de un navegador normal, instalándose en la máquina recién infectada. Para ello, no son necesarios el uso de exploits o técnicas sofisticadas.
Una vez que el payload ha sido descargado, cualquier antivirus instalado está configurado para ignorarlo o incluso desinstalarlo completamente, no obstante, se requieren derechos de administrador para ello.
"Durante varios días hemos seguido todo el proceso de robo. Los delincuentes infectaron Puntos de Venta y utilizaron raspadores de memoria como SearchforCC para la exfiltración de números de tarjetas de crédito. Con un poco más de tiempo, los ladrones podrían haber sido capaces de infectar una gama mucho más amplia de sistemas. Con una breve lista de 152 contraseñas débiles, un atacante es capaz de controlar una gran cantidad de PoS. En este caso, los ladrones acceden desde pequeñas y medianas empresas a grandes organizaciones que facturan 500 millones de dólares en ventas anuales", concluyen los investigadores.

Como conclusión, y tras conocer lo sencillo que resulta perpetrar este tipo de hazañas de final tan nefasto, hay que indicar que este tipo de campañas no serían tan fáciles de llevar a cabo si:
• Los ordenadores de los Punto de Ventas no estuviesen conectados directamente a Internet;
• Se utilizasen contraseñas VNC fuertes;
• Las cuentas de administrador no fuesen utilizadas para conectar a sistemas sensibles.

Este tipo de negligencias pueden derivar en una gran pérdida de dinero y en una muy mala imagen de marca para la empresa comprometida.

 

valorar este articulo:
Su voto: Nada

Enviar un comentario nuevo

Datos Comentario
El contenido de este campo se mantiene como privado y no se muestra públicamente.
Datos Comentario
Datos Comentario
Enviar