Vídeo: More retailers hit by hacking malware (Outubro 2024)
Embora a Target ainda esteja mantendo o controle sobre como os invasores conseguiram violar sua rede e coletar informações pertencentes a mais de 70 milhões de compradores, agora sabemos que o malware de raspagem de RAM foi usado no ataque.
"Não sabemos a extensão total do que aconteceu, mas o que sabemos é que havia malware instalado em nossos registros nos pontos de venda. Isso já foi estabelecido", disse Gregg Steinhafel, CEO da Target, em entrevista ao CNBC discutindo a recente violação. A empresa disse inicialmente que as informações do cartão de pagamento para 40 milhões de pessoas que compraram em um de seus pontos de venda durante o feriado foram comprometidas. A Target disse na semana passada que as informações pessoais de 70 milhões de pessoas também foram roubadas e que qualquer comprador que chegou às lojas em 2013 estava em risco.
Fontes sem nome disseram à Reuters no fim de semana que o malware usado no ataque era um raspador de RAM. Um raspador de RAM é um tipo específico de malware que tem como alvo informações armazenadas na memória, em oposição às informações salvas no disco rígido ou transmitidas pela rede. Embora essa classe de malware não seja nova, especialistas em segurança dizem que houve um aumento recente no número de ataques contra varejistas que usam essa técnica.
Memória Atacante
Os raspadores de RAM olham dentro da memória do computador para obter dados confidenciais enquanto estão sendo processados. De acordo com as regras atuais do PCI-DSS, todas as informações de pagamento devem ser criptografadas quando armazenadas no sistema PoS e quando estão sendo transferidas para sistemas de back-end. Embora os invasores ainda possam roubar os dados do disco rígido, eles não podem fazer nada com eles se estiverem criptografados, e o fato de os dados serem criptografados durante a viagem pela rede significa que os invasores não podem detectar o tráfego para roubar nada.
Isso significa que há apenas uma pequena janela de oportunidade - no instante em que o software PoS está processando as informações - para os invasores capturarem os dados. O software precisa descriptografar temporariamente os dados para ver as informações da transação, e o malware aproveita esse momento para copiar as informações da memória.
O aumento do malware que raspa a RAM pode estar ligado ao fato de os varejistas estarem melhorando na criptografia de dados confidenciais. "É uma corrida armamentista. Criamos um obstáculo e os atacantes se adaptam e procuram outras maneiras de obter os dados", disse Michael Sutton, vice-presidente de pesquisa de segurança da Zscaler.
Apenas outro malware
É importante lembrar que os terminais de ponto de venda são essencialmente computadores, embora com periféricos como leitores de cartão e teclados conectados. Eles têm um sistema operacional e executam software para lidar com as transações de vendas. Eles estão conectados à rede para transferir dados da transação para sistemas de back-end.
E, como qualquer outro computador, os sistemas PoS podem ser infectados por malware. "As regras tradicionais ainda se aplicam", disse Chester Wisniewski, consultor sênior de segurança da Sophos. O sistema PoS pode ser infectado porque o funcionário usou o computador para acessar um site que hospedava o malware ou abriu acidentalmente um anexo malicioso em um email. O malware pode ter explorado o software sem patch no computador ou qualquer um dos muitos métodos que resultam na infecção de um computador.
"Quanto menos privilégios os trabalhadores da loja tiverem nos terminais de ponto de venda, menor a probabilidade de serem infectados", disse Wisniewski. As máquinas que processam pagamentos são extremamente sensíveis e não devem permitir a navegação na Web ou a instalação de aplicativos não autorizados, disse ele.
Depois que o computador é infectado, o malware procura tipos específicos de dados na memória - nesse caso, números de cartão de crédito e débito. Quando encontra o número, o salva em um arquivo de texto que contém a lista de todos os dados que já coletou. Em algum momento, o malware envia o arquivo - geralmente pela rede - para o computador do invasor.
Qualquer um é um alvo
Embora os varejistas sejam atualmente alvo de malware para análise de memória, Wisniewski disse que qualquer organização que manipule cartões de pagamento estaria vulnerável. Esse tipo de malware foi usado inicialmente nos setores de hospitalidade e educação, disse ele. Sophos refere-se aos raspadores de RAM como o Trojan Trackr, e outros fornecedores os chamam de Alina, Dexter e Vskimmer.
De fato, os raspadores de RAM não são específicos apenas aos sistemas PoS. Os cibercriminosos podem empacotar o malware para roubar dados em qualquer situação em que as informações geralmente sejam criptografadas, disse Sutton.
A Visa emitiu dois alertas de segurança em abril e agosto do ano passado, alertando os comerciantes sobre ataques usando malware PoS para análise de memória. "Desde janeiro de 2013, a Visa registrou um aumento nas invasões de rede envolvendo comerciantes de varejo", afirmou a Visa em agosto.
Não está claro como o malware entrou na rede do Target, mas está claro que algo falhou. O malware não foi instalado em apenas um sistema PoS, mas em muitos computadores em todo o país e "ninguém percebeu", disse Sutton. E mesmo que o malware fosse novo demais para ser detectado pelo antivírus, o fato de estar transferindo dados para fora da rede deveria ter levantado sinais de alerta, acrescentou.
Para o comprador individual, não usar cartões de crédito não é realmente uma opção. É por isso que é importante monitorar regularmente os extratos e acompanhar todas as transações em suas contas. "Você precisa confiar nos varejistas com seus dados, mas também pode ficar atento", disse Sutton.
