Casa Securitywatch Come il malware del raschietto di ram ha rubato i dati dal bersaglio, Neiman Marcus

Come il malware del raschietto di ram ha rubato i dati dal bersaglio, Neiman Marcus

Video: Come e Dove trovare dati statistici su siti gratuiti (Novembre 2024)

Video: Come e Dove trovare dati statistici su siti gratuiti (Novembre 2024)
Anonim

Mentre Target continua a tenere d'occhio il modo in cui gli aggressori sono riusciti a violare la sua rete e a raccogliere informazioni appartenenti a oltre 70 milioni di acquirenti, ora sappiamo che nell'attacco è stato utilizzato malware con scraping RAM.

"Non sappiamo fino in fondo quanto è emerso, ma quello che sappiamo è che c'era malware installato nei nostri registri del punto vendita. Questo è quanto abbiamo stabilito", ha dichiarato il CEO di Target Gregg Steinhafel in un'intervista con CNBC che discute della recente violazione. La società inizialmente ha dichiarato che le informazioni sulle carte di pagamento per 40 milioni di persone che hanno fatto acquisti in uno dei punti vendita durante le festività natalizie sono state compromesse. Target ha dichiarato la scorsa settimana che anche le informazioni personali per 70 milioni di persone sono state rubate e che qualsiasi acquirente che è arrivato nei negozi durante tutto il 2013 era a rischio.

Fonti senza nome hanno detto a Reuters nel fine settimana che il malware utilizzato nell'attacco era un raschietto RAM. Uno scraper RAM è un tipo specifico di malware che prende di mira le informazioni archiviate in memoria, al contrario delle informazioni salvate sul disco rigido o trasmesse sulla rete. Sebbene questa classe di malware non sia nuova, gli esperti di sicurezza affermano che c'è stato un recente aumento del numero di attacchi contro i rivenditori che utilizzano questa tecnica.

Memoria d'attacco

I raschiatori RAM guardano all'interno della memoria del computer per afferrare i dati sensibili durante l'elaborazione. Secondo le attuali norme PCI-DSS (Payment Card Industry-Data Security Standard), tutte le informazioni di pagamento devono essere crittografate quando vengono archiviate sul sistema PoS e quando vengono trasferite a sistemi di back-end. Mentre gli aggressori possono ancora rubare i dati dal disco rigido, non possono farci nulla se sono crittografati e il fatto che i dati siano crittografati mentre viaggiano in rete significa che gli aggressori non possono fiutare il traffico per rubare qualcosa.

Ciò significa che c'è solo una piccola finestra di opportunità - l'istante in cui il software PoS sta elaborando le informazioni - per gli aggressori di catturare i dati. Il software deve decrittografare temporaneamente i dati per visualizzare le informazioni sulla transazione e il malware coglie l'attimo per copiare le informazioni dalla memoria.

L'aumento del malware con scraping RAM può essere legato al fatto che i rivenditori stanno migliorando la crittografia dei dati sensibili. "È una corsa agli armamenti. Lanciamo un posto di blocco e gli aggressori si adattano e cercano altri modi per raccogliere i dati", ha affermato Michael Sutton, vicepresidente della ricerca sulla sicurezza di Zscaler.

Solo un altro malware

È importante ricordare che i terminali del punto vendita sono essenzialmente computer, sebbene con periferiche come lettori di schede e tastiere collegate. Hanno un sistema operativo ed eseguono software per gestire le transazioni di vendita. Sono collegati alla rete per trasferire i dati delle transazioni ai sistemi di back-end.

E proprio come qualsiasi altro computer, i sistemi PoS possono essere infettati da malware. "Si applicano ancora le regole tradizionali", ha affermato Chester Wisniewski, consulente senior per la sicurezza di Sophos. Il sistema PoS può essere infetto perché il dipendente ha utilizzato quel computer per accedere a un sito Web che ospita il malware o ha accidentalmente aperto un allegato dannoso a un'e-mail. Il malware avrebbe potuto sfruttare software senza patch sul computer o uno qualsiasi dei molti metodi che causano l'infezione di un computer.

"Meno privilegi gli addetti ai negozi hanno sui terminali del punto vendita, meno è probabile che vengano infettati", ha detto Wisniewski. Le macchine che elaborano i pagamenti sono estremamente sensibili e non dovrebbero consentire la navigazione Web o l'installazione di applicazioni non autorizzate, ha affermato.

Una volta che il computer è infetto, il malware cerca tipi specifici di dati in memoria, in questo caso i numeri di carta di credito e debito. Quando trova il numero, lo salva in un file di testo contenente l'elenco di tutti i dati che ha già raccolto. Ad un certo punto, il malware invia quindi il file, di solito in rete, al computer dell'attaccante.

Chiunque è un bersaglio

Mentre i rivenditori sono attualmente un obiettivo per l'analisi della memoria del malware, Wisniewski ha dichiarato che qualsiasi organizzazione che gestisce le carte di pagamento sarebbe vulnerabile. Questo tipo di malware è stato inizialmente utilizzato nei settori dell'ospitalità e dell'istruzione, ha affermato. Sophos si riferisce ai raschiatori di RAM come Trackr Trojan e altri fornitori li chiamano Alina, Dexter e Vskimmer.

In effetti, i raschiatori RAM non sono specifici solo per i sistemi PoS. I criminali informatici possono impacchettare il malware per rubare i dati in qualsiasi situazione in cui le informazioni sono solitamente crittografate, ha detto Sutton.

Visa ha emesso due avvisi di sicurezza nell'aprile e nell'agosto dello scorso anno avvertendo i commercianti di attacchi utilizzando malware PoS che analizzava la memoria. "Da gennaio 2013 Visa ha registrato un aumento delle intrusioni di rete che coinvolgono commercianti al dettaglio", ha affermato Visa ad agosto.

Non è chiaro come il malware sia entrato nella rete di Target, ma è chiaro che qualcosa non ha funzionato. Il malware non era installato su un solo sistema PoS, ma su molti computer in tutto il paese e "nessuno se ne è accorto", ha detto Sutton. E anche se il malware fosse troppo nuovo per essere rilevato dall'antivirus, il fatto che stesse trasferendo dati dalla rete avrebbe dovuto sollevare bandiere rosse, ha aggiunto.

Per il singolo acquirente, non usare carte di credito non è davvero un'opzione. Questo è il motivo per cui è importante monitorare regolarmente gli estratti conto e tenere traccia di tutte le transazioni sui loro conti. "Devi fidarti dei rivenditori con i tuoi dati, ma puoi anche essere vigile", ha detto Sutton.

Come il malware del raschietto di ram ha rubato i dati dal bersaglio, Neiman Marcus