La semaine dernière, BreachTrace a annoncé la nouvelle d’une violation de carte de crédit en cours impliquant CiCi’s Pizza, une chaîne de restaurants aux États-Unis avec plus de 500 emplacements. Ce qui suit est un regard exclusif sur un botnet de point de vente qui semble avoir asservi des dizaines de terminaux de paiement piratés à l’intérieur des emplacements de CiCi qui sont soulagés des données de carte de crédit des clients en temps réel.
Au cours du week-end, j’ai entendu une source dire que depuis novembre 2015, il suivait une collection de caisses enregistreuses piratées. Ce botnet de point de vente comprend actuellement plus de 100 systèmes infectés et, selon le panneau d’administration de cette machine criminelle, au moins la moitié des systèmes compromis exécutent un processus Microsoft Windows malveillant appelé cicipos.exe.
Ce panneau d’administration affiche l’adresse Internet d’un certain nombre d’appareils de point de vente infectés au 4 juin 2016. Beaucoup d’entre eux semblent se trouver dans les établissements Cici’s Pizza.
BreachTrace n’a pas été en mesure de lier de manière concluante le botnet à CiCi. Ni CiCi ni son cabinet de relations publiques externe n’ont répondu aux multiples demandes de commentaires. Cependant, le panneau de contrôle de ce botnet comprend le numéro de carte de crédit complet et le nom attaché à la carte, et plusieurs personnes dont les noms figuraient dans le panneau de contrôle du botnet ont confirmé avoir mangé dans les établissements CiCi’s Pizza à la même date que les données de leur carte de crédit ont été siphonnées. par ce botnet.
Parmi ceux-ci se trouvait Richard Higgin de Prattville, Ala., dont les données de carte ont été enregistrées dans les journaux du botnet le 4 juin 2016. Joint par téléphone, Higgins a confirmé qu’il avait utilisé sa carte de débit pour payer un repas que lui et sa famille ont apprécié dans un établissement CiCi à Prattville le cette même date.
Une analyse des données du botnet révèle plus de 100 systèmes infectés distincts dispersés à travers le pays. Cependant, le panneau n’affichait que les systèmes piratés qui étaient actuellement accessibles en ligne, de sorte que le nombre réel de systèmes infectés peut être plus élevé.
La plupart des caisses enregistreuses piratées renvoient à des adresses Internet dynamiques attribuées par des fournisseurs de services Internet à large bande, et ces adresses fournissent peu d’informations utiles sur les propriétaires des systèmes infectés, à part offrir une idée générale de la ville et de l’état liés à chaque adresse.
Par exemple, l’adresse Internet du système de point de vente compromis qui a volé les données de la carte de M. Higgins est 72.242.109.130, qui correspond à un système Earthlink dans un pool d’adresses IP gérées à partir de Montgomery, Ala.
De nombreux journaux de botnet contiennent de brèves notes ou des messages apparemment laissés par les employés de CiCi pour d’autres employés. La plupart de ces messages concernent des détails banals sur le quart de travail d’un employé ou des problèmes qui doivent être résolus lors du prochain quart de travail.
Au total, plus de 1,2 million de numéros de cartes de crédit et de débit uniques sont enregistrés dans les journaux de botnet vus par ce journaliste. Cependant, le nombre total de comptes de cartes récoltés par les cyber-escrocs en charge de cette machine criminelle est probablement bien plus important. C’est parce que les journaux du botnet remontent au début d’avril 2016, mais il semble que quelqu’un ait réinitialisé et/ou effacé ces enregistrements avant cette date.
Seulement environ la moitié des 1,2 million de comptes volés semblent avoir été prélevés sur les sites compromis de CiCi. La majorité des autres adresses Internet qui apparaissent dans les journaux de robots n’ont pas pu être retracées à des établissements spécifiques. D’autres semblent être liés à des entreprises individuelles, notamment un cinéma à Wallingford, Ct., une pizzeria à Chicago (la célèbre Lou Malnatis), un hôtel en Pennsylvanie et un restaurant dans un hôtel Holiday Inn à Washington, DC
Ce botnet de point de vente particulier semble être alimenté par Punkyune souche de malware POS d’abord détaillé l’année dernière par des chercheurs de Trustwave Spiderlabs. Selon Trustwave, Punky comprend un composant qui enregistre les frappes sur l’appareil infecté, ce qui peut expliquer pourquoi de courtes notes laissées par les employés de CiCi apparaissent fréquemment dans les journaux du bot aux côtés des données de carte de crédit.
Bien que CiCi soit resté silencieux jusqu’à présent, le principal fournisseur de services de point de vente de l’entreprise, basé à Clearwater, en Floride, PDV de point de données – a déclaré à BreachTrace la semaine dernière que les pirates à l’origine de ce botnet ont utilisé l’ingénierie sociale pour inciter les employés à installer le logiciel malveillant, et que la violation a touché plusieurs autres fournisseurs de points de vente.
« Toutes ces attaques ont été attribuées à des violations d’ingénierie sociale / Team Viewer, car les magasins de PLUSIEURS fournisseurs de points de vente ont laissé entrer des techniciens supposés pour assurer le » support « », a déclaré Stephen P. Warne, vice-président du service et de l’assistance, dans un e-mail adressé à cet auteur. « Rien à voir avec l’un de nos mécanismes de support qui sont très restreints et bien conformes à la conformité PCI. »
Les logiciels malveillants basés sur les points de vente ont été à l’origine de la plupart des violations de cartes de crédit au cours des deux dernières années, y compris des intrusions chez Target et Home Depot, ainsi que des violations chez un grand nombre de fournisseurs de points de vente. Le malware est généralement installé via des outils d’administration à distance piratés. Une fois que les attaquants ont chargé leur logiciel malveillant sur les appareils du point de vente, ils peuvent capturer à distance les données de chaque carte glissée dans cette caisse enregistreuse.
Les voleurs peuvent ensuite vendre les données à des escrocs qui se spécialisent dans le codage des données volées sur n’importe quelle carte à bande magnétique et utilisent les cartes pour acheter des cartes-cadeaux et des produits à prix élevé dans des magasins à grande surface comme Target et Best Buy.
Les lecteurs doivent se rappeler qu’ils ne sont pas responsables des frais frauduleux sur leurs cartes de crédit ou de débit, mais qu’ils doivent quand même signaler les fausses transactions. Il n’y a pas de substitut pour garder un œil attentif sur vos relevés de carte. Envisagez également d’utiliser des cartes de crédit au lieu de cartes de débit; avoir votre compte courant vidé de l’argent pendant que votre banque règle la situation peut être un problème et entraîner des problèmes secondaires (chèques sans provision, par exemple).