Arbor Networks dio a conocer la posible reaparición de las botnets que distribuyen el malware FlokiBot que ataca a los puntos de venta (PoS), el cual luego de meses de letargo está de vuelta lanzando un nuevo malware llamado LockPoS.
Esta firma acaba de descubrir que este malware, que a principios del año estaba amenazando a los sistemas POS en Brasil, está de regreso ya que después de observar uno de los servidores de mando y control (C2) que había estado latente durante bastante tiempo se había despertado repentinamente y comenzó a distribuir el malware LockPoS.
Actualmente no está no está claro si LockPos es un malware exclusivo asociado con un solo grupo de ciber actores o será vendido en foros “underground” como Flokibot. Sin embargo, Arbor Networks indicó que la accesibilidad del malware por medio de foros clandestinos, su bajo precio y los enormes beneficios potenciales, hacen de este tipo de delitos cibernéticos un atractivo financiero.
Como se mencionó anteriormente, la campaña de FlokiBot estaba dirigida a Brasil, por lo que una buena primera suposición es que LockPoS tendrá como objetivo el mismo, pero no hay que perder de vista que otros países como México podrían estar en la mira de los ciberdelincuentes.
Los ataques a PoS han crecido en los últimos años, como olvidar el ataque a Target causado por el troyano BlackPOS a finales de 2013, uno de los más grandes en la historia empresarial de Estados Unidos. Cerca de 70 millones de clientes fueron víctimas del robo de información como su nombre, dirección, número telefónico y correo electrónico. A otros 40 millones de clientes también les podrían haber robado información relacionada a sus tarjetas de crédito o débito.
El informe Verizon Data Breach Investigation Report 2016 destacó que tan solo en el 2015 hubo 525 violaciones a sistemas de punto de venta. Mientras que el estudio de este año, cita a la intrusión a puntos de venta como parte de los patrones de ataques para 2017, el cual sigue siendo atractivo para los ciberdelincuentes. El análisis también indicó que el foco de los ataques ha cambiado de cadenas de hoteles a restaurantes y pequeñas empresas.
Los cibercriminales pueden buscar puntos débiles en los sistemas de cara al público o atacar desde la red interna. Los archivos maliciosos que los atacantes ocultan en la red pueden permanecer ocultos para intentar obtener acceso a otros sistemas hasta encontrar una manera de ingresar al entorno de puntos de venta.
Una vez que logran el cometido, la amenaza instala malware que puede recopilar datos personales en secreto cada vez que se lee una tarjeta bancaria. Los datos se acumulan en un servidor provisional interno hasta el momento de la filtración. Para facilitar esta acción, los datos de las tarjetas se mueven de un servidor provisional a otros sistemas de la red corporativa con acceso externo legítimo. El hacker manipula estos sistemas para transmitir los datos de las tarjetas a los cibercriminales externamente.
Algunas recomendaciones
Arbor Networks recomendó proteger los puntos de venta con soluciones especializadas de seguridad POS, así como asegurarse de que todos los parches o actualizaciones sean instalados cuanto antes. Además, bloquear completamente la navegación por Internet en terminal punto de venta para los empleados, o limitar el acceso a ciertos sitios web.
Capacitar a los empleados en materia de seguridad informática será fundamental para que eviten dar clic en archivos adjuntos en correos electrónicos de dudosa procedencia. También es recomendable cifrar los datos de pago y asegurarse de que la información crítica del negocio esté respaldada en un disco duro externo o sea almacenada en la nube.
