De acordo com o Relatório de Segurança do 3º Trim de 2015 da Trend Micro, “Riscos à Frente: Riscos à Frente: Vulnerabilidades Atuais são o Prenúncio de Ataques Iminentes”, o malware de Malware de PDV com funcionalidades de varredura em memória (RAM) de Pontos de Vendas (PDV) visando Pequenas e Médias Empresas (PMEs) está crescendo. Alguns dos atores de ameaças têm agora industrializado o malware PoS RAM, implementando ferramentas tradicionais de infecção em massa como spam, botnets e exploit kits que prevemos que serão uma ameaça considerável para as PMEs em um futuro próximo.

O malware PoS RAM é apenas a mais recente ameaça que as PMEs têm enfrentado. De fato, elas têm sido um alvo de oportunidade para as gangues criminosas há séculos. Historicamente, as PMEs foram, em uma extensão bem menor que hoje, empreendimentos baseados em dinheiro vivo que, em grande parte, enfrentavam roubos físicos de mercadorias, serviços, dinheiro e cheques. Só a partir dos anos 80 é que vimos uma mudança fundamental e maior dependência de sistemas de pagamento sem o uso de moeda – inclusive sistemas de cartões de marca própria para fins gerais, câmaras de compensação automatizada (ACH) e cheques. Apenas as perdas em fraudes de sistemas de pagamento sem dinheiro aumentaram de aproximadamente $110 milhões de dólares em 1980 para mais de $16 milhões em 2015.

O roubo em grande escala de dados de cartões de pagamento de PMEs antes dos anos 80 estava concentrado em violações físicas, onde dados de de cartão de crédito e até dados de contas bancárias eram comprometidos fisicamente através de operações de skimming (cópia física dos dados da faixa da tarja magnética) Mesmo com o surgimento de sistemas de pagamento mais complexos, as gangues criminosas ainda predominantemente visavam as PMEs em nível local. Eles continuam sua ofensiva hoje através de operações de skimming direcionadas a empresas financeiras, de hotelaria e varejo.

A cibernética entra em jogo

A globalização da Internet nos anos 2000 marcou o início da gangue cibercriminosa globalizada. Esse novo tipo de empresa criminosa evoluiu juntamente com o ecossistema que a apoia, a Deep Web. Os cibercriminosos têm sido extremamente bem-sucedidos em se adaptar não apenas aos avanços tecnológicos dos sistemas de pagamento, mas igualmente aos seus controles de segurança associados.

No começo dos anos 2000, eles visavam empresas que processavam, transmitiam e/ou armazenavam grande quantidades de dados de cartões de pagamento não criptografados, como evidenciado pelas violações de grandes varejistas como a TJX e processadores como a Heartland Payment Systems. Provavelmente em resposta ao mandato do Setor de Cartões de Pagamento exigindo o uso de uma criptografia forte em todos os dados de cartões de pagamento, armazenados ou em trânsito, em meados dos anos 2000 os cibercriminosos se adaptaram e começaram a concentrar seus esforços em coletar os dados na memória do cartão.

Mesmo assim, segundo consta, o malware PoS RAM ficou à solta até cerca de 2008. Ele realmente não chamou a atenção até a grande violação daTarget e violações de várias outras varejistas em 2013 e 2014.

O que tornou o malware PoS RAM e os grupos cibercriminosos por trás de seu uso tão eficazes? Foi a evolução do malware e dos atores de ameaças por trás dele. Atualmente, o malware PoS RAM é altamente especializado e personalizável:

• A personalização normalmente vem em um único pacote binário, incluindo recursos variados de rede (isto é, Protocolo de Transferência de Arquivo [FTP], Tor, HTTP, etc.) para receber comandos de servidores comando-e-controle (C&C)
• Extrai dados de cartões roubados para servidores remotos
• Utiliza criptografia para proteger a extração através de múltiplos canais
• Equipado com uma funcionalidade kill switch para remover efetivamente todos os traços de uma violação
• Incorpora kits de desenvolvimento para uma maior personalização para ataques direcionados

Esses grupos cibercriminosos evoluíram também e têm, com sucesso, visado e infectado milhares de terminais PDVs de grandes varejistas, agregando e obtendo milhões de contas de cartões de crédito Mais recentemente, os Hotéis Starwood e Hilton relataram violações usando o malware PDV, apesar de ainda não se saber qual família de malware foi recuperada.

PMEs sob ataque

Durante os últimos anos, as PMEs também não ficaram imunes. Elas foram igualmente afetadas, em seu conjunto, pelo malware PDV, porém elas não dão o mesmo faturamento quando se trata da atenção da mídia. Segundo o Relatório de Segurança daTrend Micro, a detecção do malwarePoS RAM foi de até 66 por cento, com 47 por cento visando PMEs.

Esse aumento nas taxas de infecção pode ser atribuído aos atores de ameaças utilizando ferramentas de infecção em massa, inclusive o Angler Exploit Kit, Andromeda Botnet e malware tradicionais ligados a spam. Essa nova estratégia de infecção, acoplada às vulnerabilidades inerentes de PMEs com poucas ou nenhuma estratégia ou programa de segurança cibernética, no final, levam a maior ameaça que as PMEs enfrentarão no próximo ano.

Recomendações e Soluções

• Instale a aplicação de pagamento de acordo com a Norma de Segurança de Dados de Aplicação de Pagamento
• Implemente ferramentas de segurança antimalware com reputação web, reputação de email e reputação de arquivo para se proteger de ataques de malware
• Use ferramentas IDS/IPS no host, rede e nuvem para blindar vulnerabilidade sem patches.
• Use firewalls de confiança para fornecer um perímetro personalizável ao redor dos servidores.
• Atribua uma senha forte às soluções de segurança para impedir modificações em aplicações, usando autenticação de dois fatores (2FA) sempres que possível.
• Assegure-se de que comparações de somas de verificação sejam realizadas para validar quaisquer atualizações automáticas feitas por terceiros.
• Desabilite portas e serviços desnecessários, sessões nulas, usuários padrão e guest.
• Ative registros de eventos e assegure-se de que haver um processo para monitorar registros diariamente.
• Implemente privilégios mínimos e ACLs para usuários e aplicações no sistema

A Trend Micro e suas soluções de segurança completas têm sido muito bem-sucedida em reduzir o tempo de detecção e correção contra potenciais ataques. Porém, apenas com a implementação de um programa de segurança multicamadas dentro de sua empresa, uma estratégia de risco de segurança pode ser resiliente contra ataques cibernéticos.