Operação cibercriminosa Black Atlas ameaça PMEs, revela estudo da Trend Micro

Segurança

A equipe de Pesquisa de Ameaças Futuras (FTR) da Trend Micro, empresa de segurança da informação, descobriu uma campanha que possui ampla rede de conexões do mercado clandestino com malwares em pontos de venda PoS. É a Black Atlas, em referência ao BlackPOS (principal malware usado nessa operação) e tem como alvo principal pequenas e médias empresas (PMEs).

A Operação Black Atlas é conduzida por criminosos cibernéticos tecnicamente sofisticados, que têm ao alcance uma variedade de ferramentas.

Existente desde setembro de 2015, a Operação Black Atlas tem como targets empresas na área da saúde, varejo e outras indústrias que dependem de sistemas de pagamento com cartão.

Os operadores empregaram uma abordagem de “shotgun” para infiltrar as redes, em vez de mirar em alvos específicos. Eles basicamente verificaram as portas disponíveis na Internet para ver se conseguiriam entrar, resultando em vários alvos atingidos ao redor do mundo.

Assim como em um ataque direcionado, o Black Atlas envolve um período de coleta de informações ou de reconhecimento em que os cibercriminosos analisam a melhor forma de se infiltrar nos sistemas.

Os cibercriminosos, em seguida, criam um plano de teste com base na análise inicial e, então, usam um segundo conjunto de ferramentas para executar o referido plano. O uso de ferramentas de acesso remoto nesta fase depende da forma como o ambiente alvo está configurado, com o método de obtenção de acesso remoto também variando com base no alvo.

Após se familiarizarem com o ambiente, são introduzidas ameaças de PoS. Na Black Atlas foi utilizado o botnet modular Gorynych para baixar um malware BlackPOS reaproveitado com a funcionalidade de raspagem de RAM e assim foi feito o upload de todos os números de cartão de crédito que estavam jogados na memória.

Depois do BlackPOS original ter usado um arquivo de texto para armazenar dados de cartão de crédito roubado, o Gorynych pega esse arquivo de texto e faz um HTTP POST para completar a exfiltração de dados.

Como se proteger das ameaças:

  • Implante ferramentas de segurança antimalware com web, arquivo e reputação de e-mail
  • Use rede e nuvem baseadas em ferramentas IDS/IPS para proteger vulnerabilidades não corrigidas
  • Redes com práticas de senhas fracas estão mais propensas a serem vítimas da fase inicial de testes de penetração
  • Desative portas desnecessárias e serviços, sessões nulas, usuários padrão e convidado

Clique para ler a bio do autor  Clique para fechar a bio do autor