Curt Wilson di Arbor presenta la storia e fa il punto della situazione sui malware e gli attacchi diretti contro i PoS

I sistemi POS (Point of Sale), che elaborano le transazioni con carte di debito e di credito, sono continuamente oggetto di attacchi da parte di una crescente varietà di malware. In questi ultimi anni le campagne dirette contro i PoS si sono evolute passando da attacchi opportunistici basati sul semplice furto dei dati delle carte senza alcun sistema di Comando & Controllo centralizzato, a botnet per lo scraping dei dati in memoria con punti di C&C centralizzati, fino ai recenti attacchi altamente mirati che richiedono una sostanziale quantità di malware su misura scritto apposta per fondersi inosservato all’interno dell’organizzazione presa di mira.

Se vi sono ancora attaccanti che riscuotono un certo successo con l’impiego di vecchi tool e approcci metodologici che continuano a fornire risultati grazie a una scarsa sicurezza dei PoS, i malintenzionati più ambiziosi si sono mossi rapidamente superando le difese delle aziende con campagne di attacchi mirati. Considerando la prolungata durata della vita utile delle vulnerabilità all’interno di organizzazioni che possiedono comunque dei team dedicati alla sicurezza e infrastrutture gestite, gli indicatori qui discussi potranno essere utili per rilevare tanto gli attacchi attivi quanto quelli storici.

Le aziende di ogni dimensione dovrebbero prendere in seria considerazione una profonda verifica di tutte le infrastrutture per il deployment di sistemi PoS allo scopo di identificare eventuali compromissioni in atto e di rafforzare le difese contro un avversario che continua a moltiplicare e ampliare le proprie capacità di attacco.

Oltre alle recenti pubblicazioni che hanno parlato delle attività dei malware Dexter e Project Hook, Arbor ASERT sta attualmente tenendo sotto controllo altri malware per PoS come Alina, Chewbacca, Vskimmer, JackPoS e altri esemplari meno diffusi come alcune varianti di POSCardStealer e altri. Vengono esplorate inoltre le tattiche di attacco attraverso l’analisi di un toolkit a disposizione dei malintenzionati.

La longevità e la portata delle campagne di attacchi rappresentano una seria preoccupazione. In aziende che pur dispongono di team responsabili della sicurezza e di infrastrutture di rete ben gestite, le compromissioni di sistemi PoS sono andate avanti per mesi prima di essere rilevate. Se gli attaccanti sono in grado di lanciare campagne a lungo termine in ambienti retail di questo genere, si può solo desumere che anche molte altre organizzazioni dotate di una gestione meno matura delle reti e delle infrastrutture siano a rischio. Per sottolineare questo punto è stato allegato un campione delle timeline degli incidenti di alto profilo con data di compromissione iniziale, durata dell’attacco e portata (in questo caso, numero di negozi coinvolti).

Articolo a cura di Curt Wilson, Senior Research Analyst, Arbor Security Engineering Response Team (ASERT) di Arbor Networks