Malware POS y raspadores de RAM

Al final del año pasado, la cadena estadounidense de grandes almacenes “Target” fue víctima de un ataque informático realmente importante, que acarreó la pérdida de datos pertenecientes a millones de clientes. Aunque esta compañía no sea conocida en España, esta campaña maliciosa ha supuesto un acontecimiento muy grave y merece la pena profundizar en el tema. ¿Queréis saber más?

malware POS

Al final del año pasado, la cadena estadounidense de grandes almacenes “Target” fue  víctima de un ataque informático realmente importante, el cual acarreó la pérdida de datos de millones de clientes. Aunque esta compañía no sea conocida en España, esta campaña maliciosa ha supuesto un acontecimiento muy grave y merece la pena profundizar en el tema. Durante un mes, los cibercriminales robaron los números de tarjetas de crédito de 40 millones de clientes, más información personal de otros 70 millones. El problema surgió justo en la temporada de compras más intensa, durante el mes antes de Navidad, afectando prácticamente a todas las tiendas  del país.

Quizás penséis que, para este gran golpe y el robo de semejante cantidad de información, fue necesario un plan bien ideado que comprometiese los procesos de pago o los servidores corporativos. Curiosamente, no fue éste el caso.

De hecho, ni el procesador de pago ni el sistema en sí mismo tuvieron que ver con este ataque. Los delincuentes utilizaron un tipo de malware, llamado “malware point-of-sale” (malware en el punto de venta) que afecta a los lectores de tarjetas de crédito y a las cajas registradoras.

Aunque los hackers consiguieron acceder a los servidores corporativos de Target, la información de las tarjetas se almacena de forma cifrada. En cambio, existe un pequeño periodo de tiempo durante el cual los datos permanecen en formato no cifrado para poder realizar las autorizaciones de pago. En ese momento, la caja registradora guarda dichos datos en formato texto plano en una memoria RAM.

Es aquí donde actúa el malware POS; éste  accede a la información RAM no cifrada para robar los  números de tarjetas de crédito, nombres de usuarios, direcciones, códigos de seguridad y otros detalles de pago importantes.  Este malware, conocido como “Raspadores de RAM” (RAM scrapers) son muy populares desde hace ya seis años.

El malware POS accede a la información RAM no cifrada para robar los números de tarjetas de crédito, nombres de usuarios, direcciones, códigos de seguridad y otros detalles de pago importantes.

En el caso de Target, es muy probable que los cibercriminales hayan transferido el programa malicioso desde un servidor central a los TPV donde tienen lugar las autorizaciones de pago. Si no hubiera sido así, hubieran tenido que instalar el raspador de RAM en el TPV de cada tienda; algo prácticamente imposible.

Un investigador de Seculert, examinando el suceso, ha afirmado que los cibercriminales comprometieron la infraestructura TPV de Target a través de un dispositivo infectado en la red corporativa. Desde ahí, instalaron una variación del popular malware BlackPOS, el cual se puede adquirir fácilmente en foros online para hackers.

Según una alerta emitida por varias organizaciones, entre ellas el Departamento de Seguridad Nacional estadounidense, los Servicios Secretos americanos, el National Cybersecurity and Communications Integration Center, el Financial Sector Information Sharing and Analysis Center e iSIGHT Partners, es bastante sencillo encontrar este malware en Internet, donde se publicó, recientemente, su código fuente.

De todas formas, BlackPOS no es el único malware POS  y la cadena de tiendas estadounidense no ha sido el único objetivo de esta amenaza.  De hecho, las compañías Nieman Marcus y Michael’s han declarado haber sido víctimas de un ataque parecido. Algunos expertos han sugerido que los tres ataques están relacionados entre sí, pero, por ahora, no hay pruebas que lo demuestren.

Las organizaciones, mencionadas anteriormente, advierten que el malware POS crecerá significativamente en un  futuro no muy lejano. Algunos de los ejemplares nuevos serán modificaciones de  troyanos bancarios como Zeus. Así, una vez que las autoridades sean capaces de identificar fácilmente el malware POS, los desarrolladores de raspadores de RAM (al igual que hicieron otros en el pasado) crearán programas más difíciles de detectar que ataquen al proceso de compra.

El Departamento de Seguridad Nacional junto a otras entidades ha descubierto un aumento de anuncios (en varios idiomas) de este malware en foros de desarrolladores freelance. En pocas palabras, los cibercriminales buscan a desarrolladores freelance para que creen raspadores de RAM para ellos.  De hecho, se calcula que tenga lugar un aumento similar al del año 2010; cuando se pagaba por proyectos  freelance de malware POS entre 425 y 2.500 dólares.

Además, se cree que la difusión del malware POS se ha visto favorecida por aquellos troyanos capaces de robar credenciales bancarias que, además, están disponibles en la Red y cuyos códigos fuente son fácilmente modificables para ejecutar operaciones de raspado de RAM.

“Estos códigos fuente representan un punto de partida importante para los que no saben crear un malware desde cero, o para los que buscan un esquema base que optimizar”, afirman las organizaciones de seguridad nacional. “Una situación de este tipo lleva a la creación de más malware POS, los cuales se venderán a precios accesibles para más usuarios”.

Al principio un ataque nuevo es difícil de ejecutar y de replicar. Pero, con el tiempo,  se vuelven más fáciles, permitiendo a los hackers menos experimentados adquirir las habilidades necesarias para llevar a cabo dicho ataque. Además, los cibercriminales con más experiencia suelen desarrollar kits  sencillos que abren las puertas del cibercrimen a cualquiera que disponga de un teclado y malas intenciones.

Es cierto que no existen muchas soluciones a este problema. No podemos entrar en una frutería y sustituir todos los equipos Windows XP por otros nuevos con sistemas operativos más seguros. Incluso, no está en nuestras manos que el propietario del comercio se tome en serio la seguridad TI.

Todavía quedan muchas vulnerabilidades por descubrir. Un gran número de compañías desconocen que han caído víctimas del cibercrimen o prefieren mantenerlo en secreto. En el caso de Target, el problema se detectó bastante rápido y la empresa ha sabido salir airosa de la situación.  Muchos bancos han publicado en sus páginas web un aviso al respecto; animando a sus clientes a vigilar los movimientos de sus cuentas y a reemplazar las tarjetas potencialmente comprometidas. Por ahora, todo lo que podemos hacer los usuarios es mantenernos informados, controlar nuestro extracto bancario y pedir una tarjeta de crédito nueva en caso de detectar algún problema.

malware wiper

Wiper y otros malware destructivos

Según el director de investigación de Kaspersky Lab, Costin Raiu, la mayoría de los programas maliciosos pertenecen a la categoría denominada crimeware, cuyo fin es robar las credenciales, datos, recursos o dinero de las víctimas. En segundo lugar, encontramos aquellos softwares diseñados, exclusivamente, para el ciberespionaje, los cuales atacan a estados, instituciones o infraestructuras. Y, por último, está un grupo más pequeño compuesto por un malware realmente destructivo: el wiper.

malware wiper
Consejos