No final do ano passado, a marca estadunidense de varejo “Target” foi v\u00edtima de uma ataque inform\u00e1tico realmente importante, o qual gerou a perda de dados banc\u00e1rios de 40 milh\u00f5es de clientes. Embora a empresa n\u00e3o seja muito conhecida no Brasil, o ataque malicioso foi um acontecimento muito grave e merece a nossa aten\u00e7\u00e3o sobre o tema. Durante um m\u00eas, os cibercriminosos roubaram os n\u00fameros dos cart\u00f5es de cr\u00e9dito dos clientes, al\u00e9m de informa\u00e7\u00f5es pessoais de outros 70 milh\u00f5es. O problema surgiu justamente na temporada mais intensa de compras nos EUA – um m\u00eas antes do Natal -, isso afetou quase todas as lojas da empresa no pa\u00eds.<\/p>\n
\n
Talvez voc\u00ea pense que para aplicar este grande golpe e roubar essa quantidade de informa\u00e7\u00e3o banc\u00e1ria foi necess\u00e1rio um plano bem elaborado pelos cibercriminosos a ponto de comprometer algum processador de pagamento ou mesmo os servidores corporativos do Target. Curiosamente, n\u00e3o foi este o caso.<\/p>\n
De fato, nem o processador de pagamento e nem o sistema em si tiveram nada haver com este ataque. Os cibercriminosos utilizaram um tipo de malware, chamado de PoS: malware point-of-sale (malware no ponto de venda) que afeta os leitores de cart\u00e3o de cr\u00e9dito e as caixa registradoras.<\/p>\n
Embora os hackers tenham conseguido acessar os servidores corporativos do Target, a informa\u00e7\u00e3o dos cart\u00f5es de cr\u00e9dito \u00e9 armazenada de forma criptografada. No entanto, existe um pequeno per\u00edodo de tempo durante o qual os dados permanecem en formato criptografado para poder realizar as autoriza\u00e7\u00f5es de pagamento. Nesse momento, a caixa registradora guarda tais dados em formato de texto plano na mem\u00f3ria RAM.<\/p>\n
\u00c9 a\u00ed onde atua os malwares PoS. Eles s\u00e3o desenvolvidos para “raspar” a informa\u00e7\u00e3o n\u00e3o criptografada na RAM e assim obter os n\u00fameros dos cart\u00f5es de cr\u00e9dito, nomes dos usu\u00e1rios, endere\u00e7os, c\u00f3digo de seguran\u00e7a e outros detalhes de pagamento que s\u00e3o importantes. Este tipo de malware conhecido como “raspadores de RAM” existem h\u00e1 seis anos. No caso do Target, \u00e9 muito prov\u00e1vel que os cibercriminosos tenham movido seus PoS malware desde um servidor central para os diferentes terminais dos pontos de venda. Outra forma, seria os cibercriminoso instalarem seus raspadores RAM em cada um dos terminais dos com\u00e9rcios de Target, o qual, a priori \u00e9 bastante improv\u00e1vel que tenha sido essa a estrat\u00e9gica.<\/p>\n
Um pesquisador da Seculert examinando o incidente indicou que os cibercriminosos comprometeram a infra-estrutura TPV da Target por meio de uma m\u00e1quina infectada em sua rede corporativa. De l\u00e1, eles teriam instalado uma varia\u00e7\u00e3o do popular malware BlackPOS, que voc\u00ea pode comprar facilmente em f\u00f3runs online para hackers.<\/p>\n
De acordo com um comunicado emitido por v\u00e1rias organiza\u00e7\u00f5es, entre elas o Departamento de Seguran\u00e7a Nacional Estadunidense, o Servi\u00e7o Secreto dos Estados Unidos, a Ciberseguran\u00e7a Nacional e Integra\u00e7\u00e3o de Comunica\u00e7\u00f5es Center, o Setor Financeiro de Partilha de Informa\u00e7\u00e3o e o Centro de An\u00e1lise e iSIGHT Partners, \u00e9 bastante simples encontrar este malware na internet, porque seu c\u00f3digo-fonte recentemente foi divulgado publicamente.<\/p>\n
<\/p>\n
De todas formas, o BlackPOS n\u00e3o \u00e9 o \u00fanico tipo de malware PoS e o Target n\u00e3o foi o \u00fanico objetivo desta amea\u00e7a. Na verdade, as lojas de departamento Nieman Marcus e Michael’s anunciaram que tamb\u00e9m foram v\u00edtimas de um ataque similar. Alguns t\u00eam sugerido que as tr\u00eas viola\u00e7\u00f5es est\u00e3o relacionadas, mas tais alega\u00e7\u00f5es s\u00e3o especulativas na melhor das hip\u00f3teses. At\u00e9 o momento, n\u00e3o existem provas que comprovem as suspeitas.<\/p>\n
As organiza\u00e7\u00f5es, mencionadas anteriormente, advertem que o malware PoS crescer\u00e1 significativamente muito em breve. Algumas das novas amostras ser\u00e3o simples modifica\u00e7\u00e3o de trojans banc\u00e1rios existentes, como Zeus. Como os malwares PoS tornam-se cada vez mais dispon\u00edvel para os cibercriminosos e tamb\u00e9m mais f\u00e1cil das autoridades identificarem, os desenvolvedores de raspadores de RAM (como os fabricantes de trojans banc\u00e1rios antes deles) v\u00e7ao come\u00e7ar a criar programas mais dif\u00edceis para detectar.<\/p>\n
O Departamento de Seguran\u00e7a Nacional junto a outras empresas descobriram um aumento de an\u00fancios (em v\u00e1rios idiomas) deste malware em for\u00fans de desenvolvedores freelancer. Em poucas palavras, os cribercriminosos buscam desenvolvedores freelancer para que criem raspadores de RAM para eles. De fato, eles afirmam que um aumento semelhante no malware PoS ocorreu em 2010. No in\u00edcio desse ano, projetos terceirizados de malware POS foram avaliados entre US $ 425 e US $ 2.500. At\u00e9 o final de 2010 , a taxa subiu para mais de $ 6.500 a t\u00edtulo de juros, demonstrando que o malware continua a crescer.<\/p>\n
Al\u00e9m disso, eles acreditam que a propaga\u00e7\u00e3o de malware PoS ser\u00e1 ativado por trojans capazes de roubar credenciais banc\u00e1rias que, al\u00e9m de estarem dispon\u00edveis com c\u00f3digos fonte, podem ser facilmente modificadass para executar opera\u00e7\u00f5es de rapasagem de RAM.<\/p>\n
“Estes c\u00f3digos fonte representam um ponto de partida importante para que os que n\u00e3o sabem criar um malware a partir do zero\u00a0ou para aqueles que procuram\u00a0\u00a0otimizar a efici\u00eancia do seu esquema”, afirmaram as organiza\u00e7\u00f5es de seguran\u00e7a nacional. “Uma situa\u00e7\u00e3o como esta poderia levar a mais tipos de malware POS oferecidos para venda e, portanto, eventualmente, levar a pre\u00e7os mais acess\u00edveis e para mais usu\u00e1rios”.<\/p>\n
No princ\u00edpio um ataque novo \u00e9 dif\u00edcil de executar e replicar. Mas, com o tempo, estes ataques se tornam mais f\u00e1ceis, permitindo ao hackers menos experientes a capacidade adquirir habilidade necess\u00e1rias para realiz\u00e1-las. Al\u00e9m disso, os cibercriminosos com mais experi\u00eancia podem desenvolver kits de ataque facilmente utiliz\u00e1veis\u200b, que abrem as portas para o cibercrime para quase qualquer pessoa com um teclado e m\u00e1s inten\u00e7\u00f5es.<\/p>\n
Esta \u00e9 uma outra situa\u00e7\u00e3o em que n\u00e3o h\u00e1muitas solu\u00e7\u00f5es. N\u00e3o podemos entrar em uma mercearia e substituir todas as m\u00e1quinas com Windows XP por outras novas com sistemas operacionais mais seguros. Inclusive, n\u00e3o est\u00e1 em nossas m\u00e3os que o propriet\u00e1rio do com\u00e9rcio leve a s\u00e9rio a seguran\u00e7a TI. \u00a0\u200b\u200b<\/p>\n
Outra quest\u00e3o \u00e9 que h\u00e1 provavelmente um monte de brechas que n\u00f3s nunca ouvimos falar. Um grande n\u00famero de empresas desconhecem que tenham sido v\u00edtimas do cibercrime ou preferem esconder isso. No caso do Target, o problema foi detectado rapidamente e a empresa soube resolver bem a situa\u00e7\u00e3o. A maioria dos bancos publicaram em seus sites um alerta aos consumidores sobre o risco, animando a seus cliente que vigiem os movimentos de suas contas e substituam os cart\u00f5es potencialmente comprometidos. Por agora, tudo o que podemos fazer \u00e9 manter-se informado, controlar o extrato banc\u00e1rio e solicitar um novo cart\u00e3o de cr\u00e9dito no caso de detectar agum problema.<\/p>\n
\u00a0Tradu\u00e7\u00e3o: Juliana Costa Santos Dias<\/p>\n","protected":false},"excerpt":{"rendered":"
No final do ano passado, a marca estadunidense de varejo “Target” foi v\u00edtima de uma ataque inform\u00e1tico realmente importante, o qual gerou a perda de dados banc\u00e1rios de 40 milh\u00f5es<\/p>\n","protected":false},"author":42,"featured_media":2102,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[132],"class_list":{"0":"post-2101","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-pos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/malware-pos-e-raspadores-de-ram\/2101\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/pos\/","name":"PoS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2101"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2101\/revisions"}],"predecessor-version":[{"id":13636,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2101\/revisions\/13636"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/2102"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}