Yaakov's Group | Ciberseguridad

Visa comparte detalles de dos ataques a comerciantes hoteleros de América del Norte

Comparte este post en tus redes sociales

Visa reveló que dos comerciantes de hotelería norteamericanos no identificados han sido infectados con algunas cepas de malware de punto de venta (POS).

El procesador de pagos de EE. UU. Visa reveló que dos comerciantes de hotelería de América del Norte han sido pirateados, los actores de amenazas infectaron los sistemas de las dos organizaciones anónimas con algunas cepas de malware de punto de venta (POS).

Según una alerta de seguridad publicada la semana pasada, los ataques tuvieron lugar en mayo y junio de 2020, respectivamente.

«En mayo y junio de 2020, respectivamente, Visa Payment Fraud Disruption (PFD) analizó muestras de malware recuperadas de los compromisos independientes de dos comerciantes norteamericanos». lee la alerta de seguridad de VISA ”. En estos incidentes, los delincuentes atacaron las terminales de los puntos de venta (POS) de los comerciantes en un esfuerzo por recolectar y extraer los datos de las tarjetas de pago. Después del análisis, el primer ataque se atribuyó a la variante de malware TinyPOS y el segundo a una combinación de familias de malware de POS que incluyen RtPOS, MMon (también conocido como Kaptoxa, BlackPOS) y PwnPOS «.

El procesador de pagos de EE. UU. Investigó la violación de seguridad y proporcionó detalles técnicos sobre el malware empleado en los ataques para permitir que otras empresas del sector hotelero verifiquen la presencia de los mismos actores de amenazas en sus redes.

En el incidente de mayo, los atacantes comprometieron la red de un comerciante hotelero norteamericano con el malware TinyPOS POS. Los atacantes apuntaron a los empleados del comerciante con una campaña de phishing para obtener credenciales para cuentas de usuario y pudieron hacerse cargo de una cuenta de administrador. Luego, los actores de la amenaza utilizaron herramientas administrativas legítimas para acceder al entorno de datos del titular de la tarjeta (CDE).
“Una vez que se estableció el acceso al CDE, los actores implementaron un raspador de memoria para recolectar los datos de las cuentas de pago de las pistas 1 y 2, y luego usaron un script por lotes para implementar masivamente el malware en la red del comerciante para apuntar a varias ubicaciones y sus respectivos entornos POS. . El raspador de memoria recopiló los datos de la tarjeta de pago y los envió a un archivo de registro «. continúa el informe. “En el momento del análisis, no había funciones de red o exfiltración dentro de la muestra. Por lo tanto, los actores probablemente eliminarían el archivo de registro de salida de la red utilizando otros medios «.

En el segundo compromiso, que tuvo lugar en junio, los actores de amenazas emplearon tres tipos diferentes de malware POS. Los expertos encontraron muestras de RtPOS, MMon y PwnPOS en la red de la víctima.

“Si bien se sabe menos acerca de las tácticas utilizadas por los actores de amenazas en este ataque, hay evidencia que sugiere que los actores emplearon varias herramientas de acceso remoto y volcadores de credenciales para obtener acceso inicial, moverse lateralmente e implementar el malware en el entorno POS. » continúa el informe.

Los ataques recientes demuestran que los actores de amenazas continúan apuntando a los sistemas POS de comerciantes para recolectar datos de cuentas de pago actuales de tarjetas.

El informe incluye los indicadores de compromiso asociados con ambos ataques, es fundamental compartir el informe para evitar otros compromisos.

Para que esto no le suceda a tu empresa Yaakov´s Group tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops

Fuente: securityaffairs