No final do ano passado, a marca estadunidense de varejo “Target” foi vítima de uma ataque informático realmente importante, o qual gerou a perda de dados bancários de 40 milhões de clientes. Embora a empresa não seja muito conhecida no Brasil, o ataque malicioso foi um acontecimento muito grave e merece a nossa atenção sobre o tema. Durante um mês, os cibercriminosos roubaram os números dos cartões de crédito dos clientes, além de informações pessoais de outros 70 milhões. O problema surgiu justamente na temporada mais intensa de compras nos EUA – um mês antes do Natal -, isso afetou quase todas as lojas da empresa no país.
Talvez você pense que para aplicar este grande golpe e roubar essa quantidade de informação bancária foi necessário um plano bem elaborado pelos cibercriminosos a ponto de comprometer algum processador de pagamento ou mesmo os servidores corporativos do Target. Curiosamente, não foi este o caso.
De fato, nem o processador de pagamento e nem o sistema em si tiveram nada haver com este ataque. Os cibercriminosos utilizaram um tipo de malware, chamado de PoS: malware point-of-sale (malware no ponto de venda) que afeta os leitores de cartão de crédito e as caixa registradoras.
Embora os hackers tenham conseguido acessar os servidores corporativos do Target, a informação dos cartões de crédito é armazenada de forma criptografada. No entanto, existe um pequeno período de tempo durante o qual os dados permanecem en formato criptografado para poder realizar as autorizações de pagamento. Nesse momento, a caixa registradora guarda tais dados em formato de texto plano na memória RAM.
É aí onde atua os malwares PoS. Eles são desenvolvidos para “raspar” a informação não criptografada na RAM e assim obter os números dos cartões de crédito, nomes dos usuários, endereços, código de segurança e outros detalhes de pagamento que são importantes. Este tipo de malware conhecido como “raspadores de RAM” existem há seis anos. No caso do Target, é muito provável que os cibercriminosos tenham movido seus PoS malware desde um servidor central para os diferentes terminais dos pontos de venda. Outra forma, seria os cibercriminoso instalarem seus raspadores RAM em cada um dos terminais dos comércios de Target, o qual, a priori é bastante improvável que tenha sido essa a estratégica.
Um pesquisador da Seculert examinando o incidente indicou que os cibercriminosos comprometeram a infra-estrutura TPV da Target por meio de uma máquina infectada em sua rede corporativa. De lá, eles teriam instalado uma variação do popular malware BlackPOS, que você pode comprar facilmente em fóruns online para hackers.
De acordo com um comunicado emitido por várias organizações, entre elas o Departamento de Segurança Nacional Estadunidense, o Serviço Secreto dos Estados Unidos, a Cibersegurança Nacional e Integração de Comunicações Center, o Setor Financeiro de Partilha de Informação e o Centro de Análise e iSIGHT Partners, é bastante simples encontrar este malware na internet, porque seu código-fonte recentemente foi divulgado publicamente.
De todas formas, o BlackPOS não é o único tipo de malware PoS e o Target não foi o único objetivo desta ameaça. Na verdade, as lojas de departamento Nieman Marcus e Michael’s anunciaram que também foram vítimas de um ataque similar. Alguns têm sugerido que as três violações estão relacionadas, mas tais alegações são especulativas na melhor das hipóteses. Até o momento, não existem provas que comprovem as suspeitas.
As organizações, mencionadas anteriormente, advertem que o malware PoS crescerá significativamente muito em breve. Algumas das novas amostras serão simples modificação de trojans bancários existentes, como Zeus. Como os malwares PoS tornam-se cada vez mais disponível para os cibercriminosos e também mais fácil das autoridades identificarem, os desenvolvedores de raspadores de RAM (como os fabricantes de trojans bancários antes deles) vçao começar a criar programas mais difíceis para detectar.
O Departamento de Segurança Nacional junto a outras empresas descobriram um aumento de anúncios (em vários idiomas) deste malware em forúns de desenvolvedores freelancer. Em poucas palavras, os cribercriminosos buscam desenvolvedores freelancer para que criem raspadores de RAM para eles. De fato, eles afirmam que um aumento semelhante no malware PoS ocorreu em 2010. No início desse ano, projetos terceirizados de malware POS foram avaliados entre US $ 425 e US $ 2.500. Até o final de 2010 , a taxa subiu para mais de $ 6.500 a título de juros, demonstrando que o malware continua a crescer.
Além disso, eles acreditam que a propagação de malware PoS será ativado por trojans capazes de roubar credenciais bancárias que, além de estarem disponíveis com códigos fonte, podem ser facilmente modificadass para executar operações de rapasagem de RAM.
“Estes códigos fonte representam um ponto de partida importante para que os que não sabem criar um malware a partir do zero ou para aqueles que procuram otimizar a eficiência do seu esquema”, afirmaram as organizações de segurança nacional. “Uma situação como esta poderia levar a mais tipos de malware POS oferecidos para venda e, portanto, eventualmente, levar a preços mais acessíveis e para mais usuários”.
No princípio um ataque novo é difícil de executar e replicar. Mas, com o tempo, estes ataques se tornam mais fáceis, permitindo ao hackers menos experientes a capacidade adquirir habilidade necessárias para realizá-las. Além disso, os cibercriminosos com mais experiência podem desenvolver kits de ataque facilmente utilizáveis, que abrem as portas para o cibercrime para quase qualquer pessoa com um teclado e más intenções.
Esta é uma outra situação em que não hámuitas soluções. Não podemos entrar em uma mercearia e substituir todas as máquinas com Windows XP por outras novas com sistemas operacionais mais seguros. Inclusive, não está em nossas mãos que o proprietário do comércio leve a sério a segurança TI.
Outra questão é que há provavelmente um monte de brechas que nós nunca ouvimos falar. Um grande número de empresas desconhecem que tenham sido vítimas do cibercrime ou preferem esconder isso. No caso do Target, o problema foi detectado rapidamente e a empresa soube resolver bem a situação. A maioria dos bancos publicaram em seus sites um alerta aos consumidores sobre o risco, animando a seus cliente que vigiem os movimentos de suas contas e substituam os cartões potencialmente comprometidos. Por agora, tudo o que podemos fazer é manter-se informado, controlar o extrato bancário e solicitar um novo cartão de crédito no caso de detectar agum problema.
Tradução: Juliana Costa Santos Dias