Izgledi za zlonamjerni softver za ATM/PoS u 2020.-2022

Zaključavanja su prisilila ljude da ostanu kod kuće i kupuju online tijekom pandemije, što se odrazilo na aktivnost zlonamjernog softvera na prodajnim mjestima (PoS) i bankomata jer su neke regije zabilježile značajan pad zlonamjernih transakcija. Sada, kao što smo predviđali prošle godine prognozamnogi se vraćaju uobičajenom načinu života, posjećuju trgovine i podižu gotovinu, a vraća se i opasnost od PoS/ATM zlonamjernog softvera: kibernetički kriminalci već uvode nove načine pljačke banaka i organizacija, a raste i broj napada .

Provaljivanjem bankomata ili PoS terminala napadači mogu preko noći dobiti desetke tisuća dolara. Rizik je najveći za starije modele bankomata, budući da ih je teško popraviti ili zamijeniti i rijetko koriste sigurnosni softver za sprječavanje daljnje degradacije njihovih ionako loših performansi.

PoS terminali su jednako često hakirani: malo ljudi misli da je ovim strojevima potrebna zaštita jer drže ključ do stotina bankovnih računa klijenata. Ovi uređaji mogu se naći u gotovo svim trgovinama, restoranima ili drugim objektima, ali mogu biti još lakši za prevarante. Razlog je isti kao i kod napada na bankomate: zbog velikog broja PoS terminala većini vlasnika treba predugo da ažuriraju svoje uređaje, koriste zastarjele operativne sustave sa starim (i ranjivim) softverom kako bi održali kompatibilnost sa starijim hardverom. i softver.

Prekršitelji nastavljaju širiti već postojeći, široko korišteni zlonamjerni softver za napad na PoS terminale i bankomate. Kao rezultat toga, raste i opasnost od ovih napada i broj incidenata.

Metodologija

Promatrali smo krajolik prijetnji od napada zlonamjernog softvera na ATM/PoS i kako se mijenjao od 2020. do 2022. Konkretno, pogledali smo broj pogođenih bankomata i PoS terminala, geografiju napada i skupine prijetnji koje kibernetički kriminalci koriste za ciljanje žrtava. U tu smo svrhu analizirali statistiku prijetnji Kaspersky Security Networka (KSN), sustava za obradu anonimiziranih podataka povezanih s kibernetičkim prijetnjama koje dobrovoljno dijele korisnici Kasperskyja, za razdoblje između siječnja 2020. i kolovoza 2022.

Ključni podaci za van

  • U prvih osam mjeseci 2022. broj jedinstvenih uređaja zahvaćenih ATM/PoS zlonamjernim softverom porastao je za 19% u usporedbi s istim razdobljem 2020. i za gotovo 4% u usporedbi s 2021.
  • Nakon oporavka od pada 2020., broj napada nastavio je postojano rasti, a očekujemo da će se aktivnost kibernetičkog kriminala nastaviti povećavati.
  • Kao najaktivnije obitelji pokazale su se HydraPOS i AbaddonPOS. U TOP-5 našli su se i Ploutus, RawPOS i Prilex.

Napadi zlonamjernim softverom na bankomate/pos: kako je COVID-19 utjecao na krajolik i što je sljedeće

U 2020. broj napada značajno je smanjen u odnosu na 2019. (vidi Izvješće o zlonamjernom softveru za ATM/PoS 2017.-2019). Točnije, broj pogođenih sustava pao je na manje od 5000 u 2020. s više od 8000 u 2019.

Broj jedinstvenih uređaja pogođenih zlonamjernim softverom ATM/PoS 2018.-2021. (preuzimanje datoteka)

Nekoliko je čimbenika iza toga. U Latinskoj Americi, jednoj od “najnemirnijih” regija u smislu aktivnosti zlonamjernog softvera na bankomatima/poslovima, mnogi uređaji bili isključeni tijekom isključenja i službenih ograničenja. Osim toga, broj bankomata u svijetu ima tendenciju smanjenja: na primjer, ukupan broj bankomata u Ujedinjenom Kraljevstvu padanje svake godine od 2015.; u Saudijskoj Arabiji, broj strojeva u radu pao je za 10% u 2021. Kao rezultat toga, napadači su se suočili sa sve manjim tržištem.

Ovaj bi trend također mogao biti povezan s manjom potrošnjom potrošača tijekom izbijanja bolesti COVID-19 2020. Prema statistici Središnje banke Irske, manje kupnje karticama i manje podizanja gotovine.

Uspješni programi cijepljenja i ukidanje ograničenja uzrokovanih COVID-om omogućili su potrošačima da se vrate svojim uobičajenim stilovima života i vraćaju se normalni obrasci potrošnje. U 2021. broj uređaja zahvaćenih zlonamjernim softverom za ATM/PoS porastao je za 39% u odnosu na prethodnu godinu.

U prvih osam mjeseci 2022. broj jedinstvenih uređaja zahvaćenih zlonamjernim softverom ATM/PoS porastao je za 19% u usporedbi s istim razdobljem 2020. i za gotovo 4% u usporedbi s 2021. Imajući ove trendove na umu, očekujemo daljnji rast u ATM/PoS transakcije i povezano povećanje aktivnosti napadača.

Broj jedinstvenih uređaja pogođenih zlonamjernim softverom ATM/PoS u prvoj polovici 2020. – 2022. (preuzimanje datoteka)

Tko bi trebao naćuliti uši: “najnemirnije” regije 2020.-2022.

Rusija je bila lider 2017-2021 (pogledajte i naš prethodna poruka). Zemlja ima relativno zastarjelu flotu bankomata, što je za kriminalce čini lakim za hakiranje i dosljednom metom tijekom cijelog promatranog razdoblja. Starija oprema ranjiva je na većinu obitelji zlonamjernih programa i ima relativno nisku razinu kibernetičke sigurnosti. Mnoge verzije sustava Windows koje se koriste u bankomatima odavno su dosegle kraj podrške, ali još uvijek su u upotrebi. Brazil, stalni član TOP-a za 2017.-2022., nalazi se u sličnoj situaciji: njegova flota bankomata također je prilično stara. Osim toga, napadači u regiji bili su zauzeti stvaranjem novih varijanti postojećeg zlonamjernog softvera.

Zimbabve je debitirao u TOP-5 2021. i ostao među vodećima 2022. Zemlja ima snažne gospodarske veze s Kinom, koja ulaže i izvozi radnu snagu u mnoga mjesta u Africi. To igra ključnu ulogu u gospodarskom rastu Zimbabvea: kineski ulagači otvaraju puno novih tvrtki poput hotela i drugih vrsta objekata koji su prije bili neuobičajeni u Africi. Ovo poboljšanje infrastrukture generira novčane tokove i čini regiju privlačnom metom za kibernetičke kriminalce.

TOP 10 zemalja prema broju jedinstvenih uređaja pogođenih zlonamjernim softverom za bankomate/pos u razdoblju 2020.-2022.

2020

Zemlja Uređaj
Rusija 952
Iran 891
Brazil 316
Vijetnam 222
Indija 210
Ujedinjene države 165
Italija 150
purica 122
Njemačka 121
Kina 118

2021

Zemlja Uređaj
Rusija 3036
Iran 495
Zimbabve 435
Brazil 245
Indija 242
Vijetnam 157
Ujedinjene države 156
Njemačka 134
Kina 127
Italija 120

2022

Zemlja Uređaj
Švicarska 1498
Rusija 1411
Iran 315
Zimbabve 200
Brazil 121
Indija 81
Ujedinjene države 69
Kina 63
Vijetnam 49
Njemačka 38

Najaktivnije obitelji zlonamjernog softvera u 2022

HydraPoS i AbaddonPoS odgovorni su za otprilike 71% svih otkrivanja zlonamjernog softvera za bankomate/PoS[1]sa 36% i 35%. TOP-5 također uključuje Ploutus (3%), RawPoS i Prilex (po 2%), dok preostalih 61 familija i modova koje smo provjerili predstavljaju manje od 2% svaki.

Ne Obitelj Stopa otkrivanja
1 HydraPoS 36%
2 AbaddonPoS 35%
3 Ploutus 3%
4 RawPoS 2%
5 Prilex 2%

TOP-5 obitelji prvenstveno su zlonamjerni softveri za PoS, s iznimkom Ploutusa, koji je rašireniji od zlonamjernog softvera za bankomate jer se hrani terminalima za plaćanje. Ovi se sustavi koriste u mnogim trgovinama, restoranima i drugim maloprodajnim objektima, gdje je razina kibernetičke sigurnosti obično niska i stoga dostupnija napadačima od bankomata, koji su obično u vlasništvu banaka i u mnogim slučajevima imaju solidne sigurnosne sustave, da ne spominjemo ograničen fizički pristup.

HydraPoS
HydraPoS u posljednje vrijeme nije imao nova izdanja, ali ipak zadržava snažnu vodeću poziciju na našoj ljestvici obitelji malwarea. Ovo je PoS malware alat koji potječe iz Brazila i poznat je po kloniranju kreditnih kartica. HydraPOS kombinira nekoliko komada zlonamjernog softvera sa stotinama različitih verzija i verzija te pregršt legitimnih alata trećih strana. U 2019. izvijestili smo o novim značajkama koje su dodane glavnom modulu kako bi se poboljšala postojanost i HydraPOS učinio skrivenijim.
HydraPOS je uočen u napadima koji su koristili tehnike društvenog inženjeringa. Cyberkriminalci su se preko telefona predstavljali kao zaposlenici kartične tvrtke i tražili od zaposlenika da odu na web stranicu i instaliraju “ažuriranje” koje bi pokrenulo infekciju koja bi kriminalcima omogućila pristup sustavima tvrtke.

AbaddonPoS
Obitelj AbaddonPoS otkrivena je 2015, kada su istraživači promatrali preuzimanja tijekom infekcije Vawtrakom. AbaddonPoS, koji naši proizvodi ponekad otkrivaju kao Trojan-Spy.Win32.POSCardStealer, opća je, napredna vrsta PoS zlonamjernog softvera sa značajkama kao što su anti-analiza, maskiranje koda, postojanost, smještaj podataka kreditne kartice i prilagođeni protokol za eksfiltraciju podataka.

Ploutus
Godine 2021. u divljini je pronađena nova verzija Ploutusa. Ploutus je jedna od najnaprednijih obitelji malwarea za bankomate koje smo vidjeli u posljednjih nekoliko godina. Zlonamjerni softver, koji je prvi put otkriven u Meksiku 2013., nastavlja se razvijati kroz nove verzije i viđen je kako cilja na tvrtke poput proizvođača bankomata u Brazilu, između ostalih.
Zlonamjerni se softver koristi za modificiranje legitimnog softvera i izvođenje eskalacije privilegija za kontrolu bankomata i dobivanje administrativnih privilegija, što kriminalcima omogućuje jackpot na bankomatima na zahtjev.

RawPoS
Obitelj RawPoS, koju je izvorno otkrila Visa, bila je dio korišten barem od 2008. Izvorno ciljajući na ugostiteljski sektor, zlonamjerni softver dolazi u mnogim varijantama i sposoban je izvući čitave podatke magnetske trake iz postojane memorije.

Prilex
Prilex je bio nedavno prijavio prodavati kao malware-as-a-service (MaaS). Aktivan je od 2014., potječe iz Brazila i trenutno ima globalni doseg. Grupa je 2022. nadogradila svoje metode napada kako bi zaobišla pravila autorizacije i nastavila iskorištavati procese povezane s PoS softverom i kartičnim transakcijama.

Zaključci i preporuke

Današnji život teško je zamisliti bez jednostavnog pristupa automatskim uslugama podizanja gotovine. U tome će nam pomoći ugrađeni sustavi koji se koriste u bankomatima i PoS terminalima. Što više novca akumulira ovo tržište, postaje privlačnije uljezima. Unatoč padu tijekom pandemije, napadači su ponovno pojačali svoje aktivnosti u posljednje dvije godine: napadi i detekcije su u porastu kako se pojavljuju nove varijante iz poznatih obitelji malwarea. Pojavljuju se novi poslovni modeli kibernetičkog kriminala kao što je malware-as-a-service, spuštajući ljestvicu vještina za potencijalne napadače.

Tvrtke moraju biti pametnije nego ikad kako bi zaštitile svoje sustave i podatke. Kako biste ostali u tijeku s najnovijim ATM/PoS prijetnjama, Kaspersky preporučuje primjenu sljedećih mjera:

  • Koristite višeslojnu otopinunudeći optimalan izbor zaštitnih slojeva kako bi se osigurala najbolja moguća sigurnost za uređaje s različitim razinama računalne snage i scenarijima implementacije.
  • Alat tehnike samoobrane u PoS modulimakao što je zaštita dostupna u našem Kaspersky SDKkoji ima za cilj spriječiti zlonamjerni kod da manipulira transakcijama kojima upravljaju ovi moduli.
  • Zaštitite naslijeđene sustave najnovijom sigurnošću koji je optimiziran za pružanje cijelog niza korisnih značajki na starijim verzijama sustava Windows kao i na najnovijim verzijama. To drži poduzeća uvjerenima da će imati punu podršku za starije obitelji u doglednoj budućnosti i zadržati priliku za nadogradnju kada je to potrebno.
  • Instalirajte sigurnosno rješenje, kao što je Kaspersky Embedded Systems Security, koji štiti uređaje od raznih vektora napada. Ako uređaj ima izuzetno niske specifikacije sustava, Kasperskyjevo rješenje će ga svejedno zaštititi korištenjem scenarija zadanog odbijanja.
  • Kaspersky preporučuje za financijske institucije na meti vrste prijevare o kojoj se govori u ovom izvješću Motor za dodjelu prijetnji kako bi pomogli IR timovima da pronađu i otkriju Prilex datoteke u napadnutim okruženjima.
  • Dajte svom timu pristup najnovijim izvorima podataka o prijetnjama (TI). Kaspersky Threat Intelligence Portal jedinstvena je pristupna točka za IT tvrtke koja pruža podatke o cyber napadima i uvide koje je Kaspersky prikupio tijekom proteklih dvadeset godina. Kako bi pomogao tvrtkama da omoguće učinkovitu obranu u ovim turbulentnim vremenima, Kaspersky je najavio besplatan pristup neovisnim, kontinuirano ažuriranim informacijama s globalnih izvora o tekućim cyber napadima i prijetnjama. Zatraži pristup na liniji.

[1] Detekcija je instanca aplikacije koja se blokira kada se otkrije sumnjiva aktivnost.

Leave a Reply

Your email address will not be published. Required fields are marked *