RAM Scraper e altri malware POS

Nonostante la violazione abbia interessato esclusivamente gli Stati Uniti, la notizia ha fatto velocemente il giro del mondo. Durante la fine dello scorso anno, il colosso della vendita al dettaglio statunitense Target è stato vittima di un’enorme violazione e furto di dati. Durante l’attacco, della durata di circa un mese (durante la stagione dei saldi), sono stati rubati dati di carte di credito a circa 40 milioni di utenti, così come informazioni personali di altri 70 milioni di clienti. Questa breccia si è ripercossa di conseguenza su quasi tutti gli store fisici Target degli States.

Malware POS

Nonostante la violazione abbia interessato esclusivamente gli Stati Uniti, la notizia ha fatto velocemente il giro del mondo. Durante la fine dello scorso anno, il colosso della vendita al dettaglio statunitense Target è stato vittima di un’enorme violazione e furto di dati. Durante l’attacco, della durata di circa un mese (durante la stagione dei saldi), sono stati rubati dati di carte di credito a circa 40 milioni di utenti, così come informazioni personali di altri 70 milioni di clienti. Questa breccia si è ripercossa di conseguenza su quasi tutti gli store fisici Target degli States.

Forse penserete che per rubare i dati delle carte di credito di centinaia di milioni di utenti Target, gli hacker avranno avuto bisogno di compromettere aziende processori di pagamento o direttamente i server aziendali di Target, rubando così tutti i dati in massa da una sola localizzazione centrale. Naturalmente, questo sarebbe stato un buon metodo, ma non è quello utilizzato in questo caso.

Infatti, i processori di pagamento o il sistema che processa i pagamenti di Target non hanno molto a che vedere con questa violazione. Chiunque sia il responsabile dell’attacco ha impiegato un malware speciale in grado di colpire i lettori delle carte di credito, i POS e i registratori di cassa utilizzati nei punti vendita. Tale malware è conosciuto come point-of-sale malware o malware POS.

Il malware POS è in grado di “raschiare” e decifrare i dati RAM e acquisire informazioni di pagamento come numeri di carte di credito, username, indirizzi, codici di sicurezza e altri dati tracciabili.

In realtà, gli hacker sono riusciti a penetrare nei server di pagamento di Target. La difficoltà stava all’epoca nel fatto che i dati delle carte di credito erano criptate. Tuttavia, esiste un breve periodo di tempo in cui queste informazioni devono essere decriptate in plain-text per questioni di autorizzazioni di pagamento. Durante quel periodo, il registratore di cassa o il server, in base al sistema, immagazzina i dati di pagamento in plain-text nella sua memoria RAM.

Qui è dove entra in gioco il malware POS. Il malware POS è in grado di “raschiare” e decifrare i dati RAM decriptati e acquisire informazioni di pagamento come numeri di carte di credito, username, indirizzi, codici di sicurezza e altri dati tracciabili. Questo tipo di malware, conosciuto come RAM scraper (da scrape, raschiare), è in circolazione da circa 6 anni.

Nel caso Target, è probabile che gli hacker abbiano spostato il malware POS da un server centrale e connesso o macchina, a un terminale POS o server sul quale ha luogo il processo di autorizzazione. Se così non fosse, avrebbero dovuto installare il RAM scraper su ogni singolo terminale POS posseduto da ogni negozio Target – il che è altamente improbabile.

Un ricercatore di Seculert ha esaminato l’incidente e ha suggerito che gli hacker hanno compromesso l’infrastruttura POS di Target attraverso una macchina infetta presente sulla loro network. Da qui, in teoria, avrebbero poi installato una variante del noto malware BlackPOS, acquistabile senza grosse difficoltà nei forum di hacking del mercato nero criminale (nel caso si sappia dove cercare).

Secondo un’avvertenza emanata dall’unione di alcuni organismi statunitensi formata dal Department of Homeland Security, i Servizi Segreti, la National Cybersecurity and Communications Integration Center, il Financial Sector Information Sharing and Analysis Center e il iSIGHT Partners, il malware BlackPOS non è difficile da scovare perché il suo codice è stato da poco reso pubblico.

Tuttavia, BlackPOS non è l’unico malware POS e Target non è in nessun modo l’unico retail che ha dovuto affrontare questa minaccia. Infatti, anche il department store di lusso Nieman Marcus e il retailer Michael’s hanno annunciato di essere stati vittima di un attacco simile. C’è chi sostiene che le tre violazioni siano collegate, ma sono solo supposizioni.

Nell’avviso lanciato dalla coalizione degli organismi si avverte che il malware POS è sull’orlo di una esplosione. Piuttosto che a nuovi campioni, si assisterà probabilmente – afferma l’unione – a una modificazione di un Trojan bancario esistente come Zeus. Dato che il malware POS è ora disponibile ai criminali e visibile alle forze dell’ordine, i creatori di RAM scraper (come prima di loro i disegnatori del Trojan bancario) inizieranno a disegnare Trojan privati difficili da individuare.

L’azienda di consulenza finanziaria newyorchese DHS and Company ha osservato nei forum degli sviluppatori freelance un consistente incremento di inserzioni pubblicitarie relative ai malware POS. In altre parole, i criminali domandano quali siano i prezzi per lo sviluppo di un RAM scraper. DHS afferma che un tale aumento si è verificato anche nel 2010, anno in cui i progetti di sviluppo di malware POS esternalizzati venivano valutati tra i 425 e i 2.500 dollari, raggiungendo i 6.500 dollari alla fine dell’anno – e l’interesse per questo malware non accenna a diminuire.

Inoltre, si ritiene che l’aumento della richiesta di malware POS sarà alimentata dagli attuali Trojan capaci di rubare le credenziali con codici sorgente accessibili, Trojan facilmente modificabili per realizzare operazioni di RAM scraping.

“Il ‘leakaggio’ del codice sorgente del malware del furto di credenziali potrebbe offrire un punto di partenza per coloro che non hanno le abilità per creare un nuovo ed intero tipo di malware, o per quelle persone che cercano di ottimizzare l’efficienza del proprio lavoro” si legge nell’avviso. “L’abbassamento della guardia può portare all’aumento dei malware POS venduti a prezzi scontati e quindi al suo deprezzamento e diffusione”.

Questo è il nodo centrale della questione e si tratta di un paradigma valido in ogni ambito del cybercrime. A prima vista gli attacchi sono una novità, sembrano difficili da realizzare e da ripetere, ma poi diventano più semplici, richiedendo sempre meno abilità per la loro realizzazione. Inoltre, anche gli hacker più abili iniziano a costruire kit di attacco sempre più facili da usare che danno la possibilità a chiunque in possesso di una tastiera e di un po’ di “malignità”, di portare a termine qualche colpo cibernetico.

Si tratta nuovamente di una situazione per la quale possiamo fare ben poco. Naturalmente non possiamo entrare nel nostro supermercato preferito e rimpiazzare tutti i dispositivi Windows XP vulnerabili legati alle infrastrutture POS e sostituirli con sistemi di gestione delle operazioni moderni e sicuri. Purtroppo, possiamo fare molto poco per assicurarci che i rivenditori stiano seguendo le Best Practices o che ogni dispositivo sulla rete sia sicuro.

Ma non finisce qui: ci sono probabilmente un sacco di vulnerabilità di cui non sapremo mai nulla, o perché l’azienda/vittima è disonesta, o solo per cattiva informazione. Target si è fatta avanti abbastanza velocemente per risolvere la situazione e ne è uscita abbastanza pulita. La maggior parte delle banche hanno pubblicato avvisi sui loro siti web dove avvisavano i consumatori circa il rischio e davano la possibilità ai loro clienti di monitorare gli account e sostituire le carte di credito o bancomat compromessi. Questo purtroppo è tutto quello che possiamo fare: rimanere informati, controllare l’estratto conto e richiedere eventualmente una nuova tessera.

 

malware wiper

Wiper: ci sono malware che vogliono solo distruggere il mondo

Parafrasando Costin Raiu, direttore del dipartimento di ricerca di Kaspersky Lab, la grande maggioranza dei file dannosi appartengono alla categoria crimeware, programmi per computer il cui obiettivo è trarre profitto dal furto di credenziali, dati e risorse o ottenere direttamente denaro. La seconda categoria di software è disegnata esclusivamente per lo spionaggio informatico; questi programmi vengono utilizzati da una grande varietà di “attori” esperti in attacchi avanzati.

malware wiper
Consigli