Los ataques a los sistemas de punto de venta son frecuentes y, aunque parece que están hechos con herramientas sofisticadas, la realidad es que no requieren ni de malware muy complejo ni de grandes habilidades, como han revelado los expertos de Arkoon Netasq en un análisis de este tipo de ataques.
El equipo de Arkoon Netasq ha hecho un análisis de un ataque a un punto de venta con el troyano Win32. Ardamax. Este malware es un ejemplo clásico de lo que es un keylogger comercial disponible en Internet. Tras instalarse en un ordenador, se ejecuta automáticamente durante el arranque del equipo, grabando información para enviarla, por ejemplo, a un servidor FTP con el fin de que los ciberdelincuentes accedan a este servidor fácilmente porque el login y la contraseña están incrustados en la muestra.
«Todo comenzó con una muestra del troyano Win32. Ardamax encontrada en estado salvaje. Tras efectuar un análisis de “reversing” (ingeniería inversa) de dicha muestra, los datos de los archivos de malware fueron subidos a un servidor FTP alojado en Alemania, en server4you. Dicho FTP, utilizado desde octubre de 2014, contenía la muestra original Win32.Ardamax, malware (Darkomet, Andromeda, Gorynych…), algunos raspadores de memoria para recuperar los números de tarjetas de crédito y rastreados (crawlers) de sitios web que escanean su contenido», explican los investigadores de Arkoon Netasq.
En este repositorio también se encontraban capturas de pantalla, grabaciones de micrófono, imágenes realizadas a través de una webcam, así como registros de de pulsaciones de teclas por cada ordenador infectado.
Los delincuentes había podido acceder a 15 sistema de punto de venta y algunos sistemas SCADA. Los responsables explicaron que «tras contactar con diversos CERTs y responsables de diferentes compañías para proceder a la limpieza de sus equipos, comprobamos que, a pesar de ello, nuevos datos procedentes de PoS eran cargados a diario en el repositorio FTP. Los delincuentes estaban utilizando una herramienta de fuerza bruta de VNC (Computación Virtual en Red) contra un amplio rango de direcciones IP. Dicha herramienta, además, podía obtenerse de un archivo subido a la página web VirusTotal».
Los expertos señalan que es muy sencillo usar ordenadores infectados para acceder a servidores VNC con contraseñas débiles. Cuando se establece una nueva conexión VNC, un nueva carga dañina de virus o payload se descarga a través de un navegador normal, instalándose en la máquina recién infectada.
Una vez que se ha descargado el payload cualquier antivirus instalado está configurado para ignorarlo o incluso desinstalarlo completamente, no obstante, se requieren derechos de administrador para ello.
«Durante varios días hemos seguido todo el proceso de robo. Los delincuentes infectaron puntos de venta y utilizaron raspadores de memoria como SearchforCC para la exfiltración de números de tarjetas de crédito. Con un poco más de tiempo, los ladrones podrían haber sido capaces de infectar una gama mucho más amplia de sistemas. Con una breve lista de 152 contraseñas débiles, un atacante es capaz de controlar una gran cantidad de terminales de puntos de venta. En este caso, los ladrones acceden desde pequeñas y medianas empresas a grandes organizaciones que facturan 500 millones de dólares en ventas anuales», subrayan los investigadores.
Consejos
Los expertos indican que no sería tan fácil cometer estos delitos si los ordenadores de los puntos de ventas no estuviesen conectados directamente a Internet. Aconsejan utilizar contraseñas para los servidores VNC fuertes y las cuentas del administrador no se utilizan para conectar a sistemas sensibles.
