De acuerdo con el Resumen de Seguridad de Trend Micro del tercer trimestre de 2015, “Adelantándose a los Peligros: Las Vulnerabilidades Actuales son la Antesala de Ataques Inminentes,” el malware Point of Sale (PoS) Random Access Memory (RAM) que ataca a las pequeñas y medianas empresas (PyMEs) está aumentando. Algunos creadores de amenazas ahora han industrializado el malware PoS RAM empleando herramientas de infección masiva tradicionales como son el correo electrónico no deseado, los botnets y los kits de explotación, que prevemos, serán una amenaza considerable para las PyMEs en el futuro cercano.
El malware PoS RAM es la amenaza más reciente que han enfrentado las PyMEs, pero durante siglos estas empresas han sido una beta que han aprovechado las bandas criminales. Históricamente, las PyMEs eran, en mucha menor medida empresas fundamentadas en el efectivo que además enfrentaban el robo físico de productos, servicios, dinero y cheques. No fue hasta la década de los ochenta que observamos una transformación fundamental de los sistemas de pago que no utilizaban efectivo y una dependencia hacia estos – incluyendo sistemas de tarjetas de uso general y privados, cámaras de compensación automáticas (ACH), y cheques. Tan solo las pérdidas por fraude en los sistemas de pago sin efectivo se han elevado de aproximadamente $110 millones en 1980 a más de $16 mil millones de dólares en 2015.
El robo de datos de tarjetas de pago a gran escala que enfrentan las PyMEs antes de la década de los noventa se concentraba en las brechas físicas, a través de las cuales los datos de las tarjetas e incluso los datos de las cuentas bancarias eran comprometidos físicamente a través de las operaciones de skimming (esto es, la copia física de los datos contenidos en la banda magnética). Incluso con la llegada de nuevos y más complejos sistemas de pago, los grupos criminales seguían atacando principalmente a las PyMEs a nivel local. Actualmente siguen con su ofensiva a través las operaciones de skimming dirigidas a las organizaciones financieras, de hospitalidad y minorista.
Lo cibernético entra en juego
La globalización del Internet en los 2000 marcó el inicio de las bandas cibercriminales globalizadas. Este nuevo tipo de organización criminal ha evolucionado junto con el ecosistema que la sustenta, la Deep Web. Los cibercriminales han tenido mucho éxito en adoptar no sólo los avances tecnológicos de los sistemas de pago sino también los controles de seguridad asociados.
A principios de la década pasada, atacaban a las empresas que procesaban, transmitían y/o almacenaban grandes cantidades de datos de tarjetas de crédito sin encriptar como lo ponen de manifiesto las brechas a las grandes tiendas como TJX y a procesadores como Heartland Payment Sytems. Probablemente en respuesta a los requerimientos de la Industria de Tarjetas de Pago que exigen el uso de encripción robusta en todos los datos de tarjetas de pago en reposo y en tránsito, para mediados de los 2000 los cibercriminales ya se habían adaptado y habían comenzado a concentrar sus esfuerzos en obtener los datos de las tarjetas de crédito que quedaban en la memoria.
Si bien el malware PoS RAM surgió alrededor de 2008, no obtuvo realmente gran atención hasta la brecha masiva que sufrió Target, y muchas otras tiendas durante 2013 y 2014.
¿Qué ha hecho al malware PoS RAM y a los grupos cibercriminales detrás de su uso tan efectivos? Sin duda ha sido la evolución del malware y de los creadores de amenazas que están detrás de él. Actualmente, el malware PoS RAM es altamente especializado y adaptable:
- La personalización normalmente viene en un solo paquete binario; incluyendo funcionalidad de red variada (por ejemplo, File Transfer Protocol [FTP], Tor, HTTP, etc.) para recibir comandos de los servidores de comando y control (C&C)
- Exfiltración de los datos de tarjetas robados a los servidores remotos
- Aprovecha la encripción para realizar una exfiltración segura por medio de múltiples canales;
- Está equipado con una funcionalidad de apagado para eliminar efectivamente todos los rastros de una brecha;
- Incorpora los kits de desarrollo para mejorar la personalización de ataques dirigidos.
Estos grupos cibercriminales han evolucionado también y han atacado e infectado con éxito a miles de terminales de punto de venta de las grandes tiendas para sumar y obtener millones de cuentas de tarjetas de crédito. Recientemente, Hilton and Starwood Hotels reportó brechas que utilizaban malware PoS, aunque aún se desconoce qué familia de malware se recuperó.
Las PyMEs bajo ataque
Durante los últimos años las PyMEs tampoco se han mantenido inmunes. Han sido igualmente afectadas por el malware PoS, sin embargo no han obtenido la misma atención de los medios de comunicación. De acuerdo con el Resumen de Seguridad de Trend Micro, la detección del malware PoS RAM aumentó 66 por ciento, y 47 por ciento de ese malware estaba atacando a las PyMEs.
Este aumento en los índices de infección puede atribuirse a los creadores de amenazas que están aprovechando las herramientas de infección masiva, incluyendo a Angler Exploit Kit, Andromeda Botnet y al spam que propaga malware tradicional. Esta nueva estrategia de infección, con PyMEs intrínsicamente vulnerables que tienen pocas o ninguna estrategia o programa de ciberseguridad, finalmente se derivarán en la mayor amenaza que las PyMEs enfrentarán el próximo año.
Recomendaciones y Soluciones
- Instale aplicaciones de pago que cumplan con el Estándar de Seguridad para Datos de las Aplicaciones de Pago.
- Implemente herramientas de seguridad antimalware con reputación web, de archivos y de correo electrónico para protegerse contra los ataques de malware.
- Utilice herramientas IDS/IPS hosteadas en la red, la nube o el servidor para blindar las vulnerabilidades que no se hayan parchado.
- Utilice firewalls confiables para brindar un perímetro personalizable alrededor de los servidores.
- Asigne una contraseña robusta a las soluciones de seguridad para prevenir que se modifiquen las aplicaciones, usando la autenticación de doble factor (2FA) cuando sea posible.
- Asegúrese de que se realicen las comparaciones de comprobación para validar las actualizaciones automáticas de terceros.
- Inhabilite los puertos y servicios innecesarios, las sesiones inválidas, los usuarios y guest predeterminados.
- Permita el registro de eventos y asegúrese de que haya un proceso para monitorear los registros diariamente.
- Implemente la menor cantidad posible de privilegios y ACLs en los usuarios y las aplicaciones del sistema.
Trend Micro y sus soluciones de seguridad han reducido con éxito el tiempo de detección y parcheo de las amenazas potenciales. Sin embargo, únicamente la implementación de un programa de seguridad en capas dentro de la organización puede hacer que una estrategia de gestión de riesgos sea resistente a los ataques cibernéticos.
Leave a Reply