Uma nova ameaça visa atingir o setor de PMEs. Chamada de Black Atlas (em referência ao BlackPOS, principal malware usado na operação), a campanha tem como alvo empresas na área da saúde, varejo e outras indústrias que dependem de sistemas de pagamento com cartão.
De acordo com a equipe de Pesquisa de Ameaças Futuras (FTR) da Trend Micro, os cibercriminosos por trás da operação adotaram uma abordagem de “shotgun” para infiltrar as redes ao invés de mirar em alvos específicos. Eles basicamente verificaram as portas disponíveis na internet para ver se conseguem entrar, resultando em vários alvos atingidos ao redor do mundo. A Black Atlas está ativa desde setembro de 2015.
Foi descoberta também outra campanha que utiliza o malware modular ModPOS para roubar dados de cartões usados em pagamentos feitos em lojas físicas dos EUA.
No entanto, não são apenas os varejistas dos país norte-americano que correm risco de sofrer violações. Recentemente foi mapeada uma versão inicial de um botnet potencialmente poderoso, adaptável e invisível que procura sistemas PoS dentro das redes. Este botnet já estendeu seu alcance a pequenas e médias redes de negócios em todo o mundo, incluindo uma organização da área da saúde nos EUA.
A Trend Micro conseguiu verificar que até o momento, os operadores do Black Atlas haviam conseguido roubar credenciais de usuários em sites que continham informações sensíveis, contas de e-mail e Facebook. Dentre os alvos principais identificados pela empresa estão Austrália, Índia, Taiwan, Alemanha, Reino Unido, além dos EUA.
Como opera
Assim como em um ataque direcionado, a Black Atlas envolve um período de coleta de informações ou de reconhecimento em que os cibercriminosos analisam a melhor forma de se infiltrar nos sistemas.
Os cibercriminosos em seguida, criam um plano de teste com base na análise inicial e, então, usam um segundo conjunto de ferramentas para executar o referido plano. O uso de ferramentas de acesso remoto nesta fase depende da forma como o ambiente alvo está configurado, com o método de obtenção de acesso remoto também variando com base no alvo.
Após se familiarizarem com o ambiente, são introduzidas ameaças de PoS. Na Black Atlas foi utilizado o botnet modular Gorynych para baixar um malware BlackPOS reaproveitado com a funcionalidade de raspagem de RAM e assim foi feito o upload de todos os números de cartão de crédito que estavam jogados na memória.
Depois do BlackPOS original ter usado um arquivo de texto para armazenar dados de cartão de crédito roubado, o Gorynych pega esse arquivo de texto e faz um HTTP POST para completar a exfiltração de dados.
A Trend Micro listou algumas recomendações para um pagamento seguro:
– Implantar ferramentas de segurança anti-malware com web, arquivo e reputação de e-mail;
– Usar rede e nuvem baseadas em ferramentas IDS/IPS para proteger vulnerabilidades não corrigidas;
– Redes com senhas fracas estão mais propensas a serem vítimas da fase inicial de testes de penetração;
– Desativar portas desnecessárias e serviços, sessões nulas, usuários padrão e convidado.
