«PoSeidon», une nouvelle souche de logiciels malveillants conçue pour voler les données des cartes de crédit et de débit des appareils de point de vente (POS) piratés, a été impliquée dans un certain nombre de violations récentes impliquant des entreprises qui fournissent des services POS principalement aux restaurants, bars et hôtels. Le fait que les voleurs de cartes ne ciblent plus les grands détaillants comme Target et Home Depot pour attaquer d’innombrables petits utilisateurs de systèmes de point de vente donne aux institutions financières une course pour leur argent alors qu’elles ont du mal à déterminer quels commerçants sont responsables de la fraude par carte.
Un outil de base que les banques utilisent pour connaître la source du vol de données de carte consiste à déterminer un « point de vente commun » (CPP) parmi un ensemble donné de cartes de clients victimes de fraude. Lorsqu’un nouveau lot de cartes est mis en vente dans une boutique criminelle en ligne, les banques achètent souvent un très petit nombre de leurs cartes volées pour déterminer si les clients victimes ont tous fait leurs achats chez le même marchand sur une période donnée.
Cette même analyse du CPP a été essentielle pour les banques, aidant ce journaliste à identifier certaines des plus grandes violations de la vente au détail jamais enregistrées ces dernières années, et c’est une méthode largement utilisée par les organismes d’application de la loi pour identifier les victimes de violations.
Mais l’approche CPP tombe généralement à plat si toutes les cartes achetées dans le magasin de fraude ne révèlent pas un commerçant commun. Des magasins de fraude plus expérimentés ont cherché à créer cette confusion et à confondre les enquêteurs en «faisant des saucisses», c’est-à-dire en mélangeant méthodiquement les cartes volées à plusieurs victimes dans un nouveau lot unique de cartes volées qu’ils proposent à la vente.
De plus en plus, cependant, les fraudeurs qui vendent des cartes volées n’ont pas besoin de faire des saucisses : les victimes qui divulguent des données de carte sont déjà des sous-ensembles de franchises de restaurants ou d’établissements de vente au détail dont le seul point commun est le dispositif de point de vente de marque sur lequel ils s’appuient pour traiter transactions par carte client.
PROCHAINE
Les violations de carte impliquant des appareils de point de vente vendus par le même fournisseur sont notoirement difficiles à diagnostiquer pour les institutions financières, car les banques n’ont très souvent de relation directe ni avec le fournisseur de point de vente ni avec le restaurant ou le bar dont les cartes des clients ont été volées.
De plus, les violations spécifiques aux points de vente sont souvent liées à un sous-ensemble de clients d’un fournisseur de points de vente qui, à leur tour, s’appuient sur une société informatique locale pour installer et prendre en charge les systèmes de point de vente. Les points communs entre les restaurants et les bars piratés sont généralement ceux qui se sont appuyés sur une société d’assistance qui permet invariablement l’accès à distance aux systèmes de point de vente via des outils tels que pcAnywhere ou LogMeIn en utilisant le même nom d’utilisateur et le même mot de passe sur de nombreux systèmes clients. Une fois authentifiés à distance auprès des systèmes ciblés, les voleurs peuvent télécharger des logiciels malveillants comme POSeidon, qui est capable de capturer toutes les données de carte traitées par le point de vente victime.
Il y a quelques semaines, ce journaliste a annoncé que plusieurs systèmes gérés par un fournisseur de points de vente PROCHAINE avait subi une brèche. Les banques n’ont pu identifier les systèmes NEXTEP comme source que parce que le nombre écrasant de commerçants touchés par cette violation se trouvait être des clients NEXTEP qui faisaient également partie du Zoom chaîne de restaurants de soupes.
« Vous avez peut-être vu les discussions sur le malware ‘PoSeidon’ qui ciblait spécifiquement les systèmes de point de vente », PDG de NEXTEP Tommy Woycik dit dans un e-mail de suivi. « Dans les trente-six heures suivant le moment où nous avons pris connaissance du problème, nous avons pu utiliser nos ressources en interne pour bloquer toute nouvelle compromission des données avec la plupart de nos clients. Nous avons retenu et travaillé avec deux ensembles différents de consultants pour résoudre tous les problèmes restants et pour évaluer, sur une base continue, l’efficacité des correctifs. »
Woycik a déclaré que la société enquêtait également sur les raisons pour lesquelles la grande majorité de ses clients n’avaient pas compromis leurs informations, mais que le piratage était limité à quelques emplacements identifiés. Une partie du problème était que certains des sites piratés s’appuyaient sur des sociétés de gestion de points de vente qui refusaient de coopérer à l’enquête.
« Nous avons été quelque peu gênés dans notre enquête parce que certaines parties impliquées dans les endroits qui, selon nous, auraient pu être touchés n’ont pas voulu nous fournir des données critiques », a-t-il déclaré.
Bevo point de vente
Plus récemment, BreachTrace a entendu plusieurs banques soupçonner que des systèmes étaient vendus et entretenus par un autre fournisseur de points de vente – basé à Naples, en Floride. Bevo point de vente – était probablement la source de fraude pour plus d’une douzaine de restaurants et de bars en Floride et dans les environs.
Contacté pour commenter ces allégations, le PDG de Bevo POS Onur Haytac a répondu en reconnaissant qu’un très petit sous-ensemble de ses clients était effectivement victime de PoSeidon.
« Bevo POS a-t-il déjà été piraté ? Non, cependant, Windows l’était. Bevo POS est une application de point de vente (non basée sur le cloud) qui est à la fois conforme à la norme PCI et crypte toutes les données de carte de crédit », a-t-il expliqué. « Le logiciel malveillant identifié, PoSeidon, qui se pousse avec l’injection de DLL et les chevaux de Troie de porte dérobée, est un enregistreur de frappe avec grattage de la mémoire qui a violé Windows, et comme je suis sûr que vous le savez, les antivirus et les mises à jour Windows de Microsoft Security Essentials ne reconnaissent pas ou arrêter bon nombre des nouvelles menaces plus uniques. Le jour même où nous avons été alertés d’une éventuelle compromission, nos ingénieurs ont trouvé un exécutable qui avait été récemment installé dans Windows à cet emplacement, appelé « Winhost.exe ».
Selon Haytac, la société a appris les incidents le 15 mars. Il a déclaré que la violation s’était produite lors du grattage de la mémoire au fur et à mesure que les données transitaient pendant que Windows envoyait les données à l’application Bevo, capitalisant essentiellement sur un « écart d’une milliseconde » entre les systèmes.
« À peine 0,26 % des clients (13 sur 6 500) ont été touchés et nous avons non seulement identifié le logiciel malveillant dans les 24 heures (5 jours avant qu’il ne soit signalé publiquement par les experts en sécurité), nous avions créé un outil tueur Poseidon et balayé tous les machine des clients dans la semaine. Les violations réelles de Windows de nos clients ne se sont produites que sur une période de deux jours.
Haytac a déclaré que l’aspect le plus frustrant de l’épreuve jusqu’à présent est que tous ses clients disposent d’une forme de logiciel antivirus Windows et qu’aucune de ces applications n’a été en mesure de reconnaître le logiciel malveillant.
« Ainsi, pour éviter que de futures possibilités que cette » lacune « dans le système ne soit à nouveau exploitée par des pirates informatiques implacables, nous avons conclu un accord avec Comodo pour créer un logiciel de confinement d’une nouvelle ère qui inclut un antivirus », a-t-il déclaré. « Nous proposons cela à tous nos clients, en comblant l’écart entre ces techniques de violation et le système d’exploitation Windows. Nous devons expédier ce week-end car nous sommes dans les dernières étapes des tests. Windows n’est évidemment pas notre produit à protéger, mais nos clients le sont, donc nous le faisons indépendamment et sans frais pour eux.
RESCATOR REVISITÉ
Pendant plusieurs mois à la suite de révélations selon lesquelles des fraudeurs avaient volé 56 millions de cartes à des clients de Home Depot, le magasin de cartes principalement responsable de la vente de ces cartes — Rescator[dot]cm (les mêmes pirates que l’on pensait responsables de l’intrusion de Target) – ont inexplicablement cessé de vendre de nouvelles cartes volées aux marchands et détaillants de la rue principale.
Cette pause s’est poursuivie pendant six mois sans précédent jusqu’au 10 mars 2015, lorsque Rescator et sa joyeuse bande de voleurs ont annoncé le lot de cartes de crédit « American Dream ». Quelques jours plus tard, la boutique Rescator a sorti des millions de cartes dans des lots à tir rapide appelés «Breakthrough», «American Dream», «Imperium Romanum» et «Spring Awakening».
Plusieurs institutions financières contactées par cet auteur ont acheté des poignées de leurs cartes à partir de ces lots, mais n’ont pas été en mesure de trouver un seul point d’achat commun parmi aucune d’entre elles. Cependant, chaque banque a déclaré avoir vu dans chaque lot une forte prépondérance de petits restaurants et bars qu’elle surveillait depuis des mois comme une source présumée de cartes volées. Les banques ont signalé à BreachTrace que la majeure partie de ces établissements sont concentrés autour des villes du Colorado, du Texas, de la Floride et de la région métropolitaine de Washington, DC, y compris la Virginie et le Maryland.
AUTRES SOLUTIONS
Les fournisseurs de sécurité recommandent depuis longtemps des produits et services de chiffrement « de bout en bout » ou « point à point » pour contourner les menaces telles que PoSeidon. L’idée étant que si les données de la carte ne traversent jamais le réseau local ou l’appareil du point de vente dans un format non crypté, tout logiciel malveillant voleur de cartes qui se dirige vers les systèmes du point de vente n’aura rien à voler, mais un charabia sans valeur. .
Le problème est que de nombreux commerçants – en particulier les plus petits – ne semblent pas particulièrement intéressés ou incités à investir dans ces technologies, qui ont tendance à exiger des coûts initiaux plus élevés et des frais de maintenance continus pour les fournisseurs de sécurité, a déclaré Stupide richechef de l’exploitation chez Kountune société de sécurité des paiements basée à Boise, Idaho.
« C’est un remaniement fondamental de la façon dont les bits sont transmis, et cela a également tendance à rediriger beaucoup de puissance vers une autre extrémité du réseau, soit vers une marque de cartes, soit vers une entreprise de point de vente, et cela change radicalement qui a le pouvoir. dans cette situation », a déclaré Stuppy.
Quant à savoir pourquoi les petits commerçants ne se tournent pas vers des solutions telles que le cryptage point à point et de bout en bout, Stuppy a déclaré que c’est un jeu de nombres qui favorise les attaquants.
« Je pense que plus [merchants] pourrait peut-être ériger une clôture autour de cela de manière à ce que cela devienne de plus en plus difficile, mais les petits gars ne vont pas faire ça. Avec ces systèmes de point de vente largement distribués, les malfaiteurs cherchent à brancher le logiciel malveillant une seule fois, et peu importe si vous devez obtenir les gros joueurs une fois pour obtenir 50 millions de cartes, ou si vous devez obtenir 1 000 cartes de 50 000 commerçants compromis.
Pour une plongée approfondie dans les logiciels malveillants PoSeidon, consultez ce billet de blog du 25 mars 2015 des chercheurs de Cisco.