Video: TARGET BLACK FRIDAY FINDS & MORE WALKTHROUGH * SHOP WITH ME (Noviembre 2024)
Si bien Target aún no sabe cómo los atacantes lograron violar su red y acumular información que pertenece a más de 70 millones de compradores, ahora sabemos que se utilizó malware de raspado de RAM en el ataque.
"No sabemos el alcance total de lo que ocurrió, pero lo que sí sabemos es que había malware instalado en nuestros registros de puntos de venta. Eso es lo que hemos establecido", dijo el CEO de Target, Gregg Steinhafel, en una entrevista con CNBC discutiendo la reciente violación. Inicialmente, la compañía dijo que la información de la tarjeta de pago para 40 millones de personas que compraron en uno de sus puntos de venta durante la temporada navideña se vio comprometida. Target dijo la semana pasada que la información personal de 70 millones de personas también fue robada, y que cualquier comprador que vino a las tiendas en todo 2013 estaba en riesgo.
Fuentes anónimas dijeron a Reuters durante el fin de semana que el malware utilizado en el ataque era un raspador de RAM. Un raspador de RAM es un tipo específico de malware que se dirige a la información almacenada en la memoria, a diferencia de la información guardada en el disco duro o que se transmite a través de la red. Si bien esta clase de malware no es nueva, los expertos en seguridad dicen que ha habido un aumento reciente en el número de ataques contra minoristas que usan esta técnica.
Memoria de ataque
Los raspadores de RAM miran dentro de la memoria de la computadora para capturar datos confidenciales mientras se procesan. Según las reglas actuales del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), toda la información de pago debe cifrarse cuando se almacena en el sistema PoS y cuando se transfiere a los sistemas de fondo. Si bien los atacantes aún pueden robar los datos del disco duro, no pueden hacer nada si están encriptados, y el hecho de que los datos estén encriptados mientras viajan por la red significa que los atacantes no pueden detectar el tráfico para robar nada.
Esto significa que solo hay una pequeña ventana de oportunidad, el instante en que el software PoS está procesando la información, para que los atacantes obtengan los datos. El software tiene que descifrar temporalmente los datos para ver la información de la transacción, y el malware aprovecha ese momento para copiar la información de la memoria.
El aumento en el malware de raspado de RAM puede estar relacionado con el hecho de que los minoristas están mejorando en el cifrado de datos confidenciales. "Es una carrera armamentista. Lanzamos un obstáculo y los atacantes se adaptan y buscan otras formas de obtener los datos", dijo Michael Sutton, vicepresidente de investigación de seguridad de Zscaler.
Solo otro malware
Es importante recordar que los terminales de punto de venta son esencialmente computadoras, aunque con periféricos como lectores de tarjetas y teclados conectados. Tienen un sistema operativo y ejecutan software para manejar las transacciones de ventas. Están conectados a la red para transferir datos de transacciones a sistemas de fondo.
Y al igual que cualquier otra computadora, los sistemas PoS pueden infectarse con malware. "Las reglas tradicionales todavía se aplican", dijo Chester Wisniewski, un asesor de seguridad senior en Sophos. El sistema PoS puede infectarse porque el empleado usó esa computadora para ir a un sitio web que aloja el malware, o accidentalmente abrió un archivo adjunto malicioso a un correo electrónico. El malware podría haber explotado software sin parchear en la computadora, o cualquiera de los muchos métodos que resultan en una computadora infectada.
"Mientras menos privilegios tengan los trabajadores de las tiendas en las terminales de los puntos de venta, es menos probable que se infecten", dijo Wisniewski. Las máquinas que procesan pagos son muy sensibles y no deberían permitir la navegación web o la instalación de aplicaciones no autorizadas, dijo.
Una vez que la computadora está infectada, el malware busca tipos específicos de datos en la memoria, en este caso, números de tarjetas de crédito y débito. Cuando encuentra el número, lo guarda en un archivo de texto que contiene la lista de todos los datos que ya ha recopilado. En algún momento, el malware luego envía el archivo, generalmente a través de la red, a la computadora del atacante.
Cualquiera es un objetivo
Si bien los minoristas son actualmente un objetivo para el análisis de memoria de malware, Wisniewski dijo que cualquier organización que maneje tarjetas de pago sería vulnerable. Este tipo de malware se utilizó inicialmente en los sectores de hospitalidad y educación, dijo. Sophos se refiere a los rascadores de RAM como el troyano Trackr, y otros proveedores los llaman Alina, Dexter y Vskimmer.
De hecho, los rascadores de RAM no son específicos solo de los sistemas PoS. Los ciberdelincuentes pueden empaquetar el malware para robar datos en cualquier situación en la que la información generalmente esté encriptada, dijo Sutton.
Visa emitió dos alertas de seguridad en abril y agosto del año pasado advirtiendo a los comerciantes de ataques que utilizan malware PoS de análisis de memoria. "Desde enero de 2013, Visa ha visto un aumento en las intrusiones en la red que involucran a comerciantes minoristas", dijo Visa en agosto.
No está claro cómo llegó el malware a la red de Target, pero está claro que algo falló. El malware no se instaló en un solo sistema PoS, sino en muchas computadoras en todo el país, y "nadie se dio cuenta", dijo Sutton. E incluso si el malware fuera demasiado nuevo para que el antivirus lo detectara, el hecho de que estaba transfiriendo datos fuera de la red debería haber alertado, agregó.
Para el comprador individual, no usar tarjetas de crédito no es realmente una opción. Es por eso que es importante monitorear regularmente los estados de cuenta y rastrear todas las transacciones en sus cuentas. "Debe confiar sus datos a los minoristas, pero también puede mantenerse alerta", dijo Sutton.
