domenica 13 luglio 2014

Allarme BrutPOS: a rischio sicurezza i terminali POS



O_BrutPOS



A pochi giorni dall’entrata in vigore dell’obbligo previsto per esercenti, commercianti e professionisti, di utilizzo del POS, un nuovo allarme desta preoccupazione.

Un malware, denominato BrutePOS, è stato segnalato nelle ultime ore da alcuni ricercatori di FireEye.
Botnet di migliaia di computer infetti sono state utilizzate per tentare di violare e compromettere terminali POS, con lo scopo di accedere alle informazioni relative alle carte di credito: 5622 sono i dispositivi zombie individuati in 119 paesi (al primo posto Russia, seguita da India, Vietnam e Iran).
Secondo i ricercatori la campagna è attiva almeno da febbraio 2014. Non è ancora chiaro come il malware BrutPOS si propaghi, ma si ritiene che gli aggressori abbiano utilizzato un servizio di distribuzione fornito da altri criminali informatici; si è riscontrata infatti la comparsa nei forum underground di riferimenti a botnet utilizzate per infettare i dispositivi POS.
La tecnica d’intrusione sfrutta l’accesso via RDP (Remote Desktop Protocol) ai meccanismi di gestione dei pagamenti; le botnet, per la maggior parte localizzate in Est Europa, controllano costantemente la rete globale alla ricerca di nodi con accesso RDP. Software evoluti, con elevate capacità di multi-threading, sfruttano attacchi brute-force e a dizionario per scoprire in tempi relativamente rapidi le password ed ottenere accesso e controllo dei POS.
Una volta ottenuto l’accesso, indovinando con successo le credenziali di accesso remoto di un sistema RDP-enabled, l’attaccante utilizza tali informazioni per installare un malware che sostituisce importanti file di sistema ed è in grado di carpire ed estrarre i dati presenti nel dispositivo e di analizzare il traffico di rete alla ricerca delle informazioni delle carte di credito.
I dati vengono poi inviati ai centri di comando della botnet, localizzati per la maggior parte in Russia e Ucraina, e successivamente rivenduti nei forum che popolano le darknet.
La ricerca ha evidenziato che oltre un terzo degli attacchi rilevati ha sfruttato la presenza di password banali e poco sicure, oppure password comunemente correlate ai produttori di POS, come ad esempio Micros: il nome utente più comune utilizzato dai server violati era “administrator” e le password più comuni erano “pos” e “Password1″.

Gli attacchi BrutPOS basano dunque il loro successo su vulnerabilità sottovalutate.
In base ai dati che i centri di ricerca sono stati in grado di recuperare, le combinazioni di username e password più provate risultano essere le seguenti:


Username
  • admin
  • administrator
  • backup
  • backupexec
  • data
  • datacard
  • manager
  • micros
  • microssvc
  • pos


Password
  • Admin
  • admin
  • Administrat0r
  • Administrator
  • administrator
  • backup
  • backupexec
  • client
  • client1
  • datacard
  • @dm1n
  • @dmin
  • micros
  • p0s
  • Passw0rd
  • Passw0rd1
  • Password
  • Pass@word
  • password
  • Password1
  • Pa$$w0rd1
  • Pa$$word
  • pa$$word
  • pos
  • P@ssw0rd
  • p@ssword
  • p@ssword1
  • p@$$w0rd
I dati parziali che i ricercatori sono riusciti a raccogliere indicano accessi positivi ad oltre il 10% dei dispositivi scansionati in due settimane, con un tempo di circa 27 minuti tra la compromissione del dispositivo e l’invio dei dati rubati.Diventa perciò di vitale importanza, per chi voglia dotarsi dei sistemi di pagamento automatico, eseguire dei controlli e dei test approfonditi, applicando gli standard di sicurezza PCI DSS, in modo da certificare la filiera del pagamento e mantenere livelli di sicurezza elevati nei dispositivi che contengono i dati dei consumatori.
Posta un commento