Data breach bladeren honderden POS eenheden geïnfecteerd met malware
Bijna 140 bars, restaurants en winkels van de koffie in de VS hebben gehad kassasystemen met malware geïnfecteerd.
Een recent ontdekte cyber crime campagne is gericht op restaurants, bioscopen en andere retailers in de entertainment-en horeca met point-of-sale (POS) malware in een voortdurende inspanning om te stelen van creditcardgegevens van klanten.
Bekend als DMSniff, de malware wordt gedacht aan het actief zijn sinds 2016, dat in geslaagd om te vliegen onder de radar tot nu toe, na te zijn ontdekt en beschreven door onderzoekers van de cyber security intelligence bedrijf Vlampunt.
De belangrijkste doelstellingen van DMSniff zijn kleine en middelgrote bedrijven die sterk afhankelijk zijn van de transacties met de kaart, zoals het eten, de gastvrijheid en de entertainment-industrie.
Wat stelt DMSniff onderscheidt van andere vormen van POS-malware is hoe het gebruik van een domein generatie algoritme (DGA) te maken van de command-and-control-domeinen op de vlieg, helpt het om te weerstaan takedowns en bypass eenvoudige blokkerende mechanismen.
Dit is gunstig voor de aanvallers, want als domeinen zijn genomen door justitie of hosting providers, de malware kan nog steeds communiceren met de besmette POS-apparaat en de overdracht van gestolen gegevens.
In totaal hebben de onderzoekers ontdekt 11 varianten van de DGA – wanneer deze technieken worden zelden gezien in POS malware campagnes, mogelijk wijzend op het feit dat het werk van een deskundige cyber criminele operatie.
Het is dacht dat DMSniff malware druppels beginnen met aanvallers het inzetten van een combinatie van brute-force aanvallen in een poging om de bypass slechte wachtwoorden en door het scannen op kwetsbaarheden die gemakkelijk kan worden misbruikt als POS-machines zijn onbedoeld en ongemerkt blootgesteld aan het open internet. Het is ook mogelijk dat aanvallers in het gedrang kunnen brengen door het apparaat fysiek te knoeien met.
Hoe de malware is geleverd, het doel is hetzelfde: het stelen van creditcard gegevens. DMSniff schaafwonden informatie van de magnetische strepen op de betaling van de kaarten als het gejat door een terminal – maar voordat het versleuteld en verzonden naar de payment processor. Met behulp van de magnetische strip op een kaart is zeldzaam in het verenigd koninkrijk, maar meer gebruikelijk is in de verenigde staten.
Door dit te doen, wordt de informatie verstuurd naar een command and control-server wordt beheerd door de aanvallers, die kan bundel gestolen credit card nummers samen en proberen om het te verkopen voor een winst op underground fora. Als alternatief kunnen zij proberen misbruik te maken van de diefstal van de kaart informatie overdracht te maken en aankopen voor zichzelf – hoewel dat zou verhogen het risico om gepakt te worden.
Om te helpen bij het vermijden van detectie en analyse door de onderzoekers van de veiligheid en handhaving van de wet, DMSniff maakt gebruik van een string-codering routine te verbergen – en in het geval van om ontdekt te worden, om te proberen te verbergen hoe de malware werkt. Gezien het feit dat het nog niet bekend hoe het komt op besmette systemen, dit lijkt te hebben gewerkt, tot op zekere hoogte.
Onderzoekers hebben ontdekt organisaties over de hele wereld die slachtoffer te worden van DMSniff. Waar mogelijk, ze hebben gewerkt aan het informeren van de bedrijven en hun klanten, dat ze zijn het slachtoffer van een cyberaanval.
“Er lijkt niet te worden gericht per regio, want we hebben gevonden infecties in verschillende landen. Alle gestolen gegevens naar de autoriteiten. In gevallen waar hadden we merchant Id ‘ s uit de gestolen data halen, we zijn succesvol geweest in het werken met de juiste financiële instellingen contact op met de slachtoffers,” Jason Reaves, de belangrijkste bedreiging onderzoeker bij Vlampunt vertelde ZDNet.
Terwijl DMSniff wordt gedacht aan het actief zijn geweest voor een aantal jaren, lijkt dit de eerste keer is gebruikt in een brede campagne – die wordt verondersteld om de nog steeds lopende.
Om zich te beschermen tegen de aanvallen, Vlampunt adviseert organisaties regelmatig bijwerken van alle aanvallen oppervlakken – met inbegrip van POS-machines. De onderzoekers hebben ook de indicatoren van het compromis voor DMSniff.
LEES MEER OVER CYBER CRIME
Huddle House restaurant keten kondigt schending van POS-systeem5 dingen om te overwegen wanneer het kiezen van een credit card processor [CNET]Één van de oudste vormen van POS-malware aangepast om detectie te voorkomenAls u onlangs gewinkeld bij Forever 21, uw creditcard wordt gestolen [TechRepublic]Hoe een gehackte laptop geleid tot een volledig netwerk in gevaar wordt gebracht
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters