Хакеры атаковали PoS-системы двух североамериканских компаний

Эксперты американской компании Visa сообщили , что в начале нынешнего года были взломаны системы двух североамериканских компании в сфере гостеприимства. В ходе атак преступники заразили системы вредоносным ПО для PoS-терминалов.

Вредоносное ПО для PoS-систем заражает компьютеры под управлением Windows, ищет PoS-приложения, а затем сканирует память устройства на предмет данных платежных карт, которые обрабатываются в приложениях для PoS-платежей.

Компания Visa не указала названия компаний-жертв кибератак из-за соглашений о неразглашении, связанных с расследованием инцидентов.

По результатам расследования июньской атаки, Visa обнаружила в сети жертвы три разных вида вредоносного ПО для PoS-систем — RtPOS, MMon (также известный как Kaptoxa ) и PwnPOS . Злоумышленники взломали сеть компании в сфере гостеприимства, «использовали инструменты для удаленного доступа и утилиты для сброса учетных данных с целью получить начальный доступ, перемещаться по сети и развернуть вредоносное ПО для PoS».

Специалисты не смогли определить, как злоумышленники проникли в сеть компании. Однако они смогли определить точку входа в первой атаке, произошедшей в мае.

«Первоначальный доступ к торговой сети был получен посредством фишинговой кампании, нацеленной на сотрудников организации. Учетные записи пользователей, включая учетную запись администратора, были скомпрометированы в рамках фишинг-атаки и использовались злоумышленниками для входа в среду компании. Затем участники использовали легитимные административные инструменты для доступа к среде данных о держателях карт (cardholder data environment, CDE) в сети компании», — пояснили эксперты.

Установив доступ к CDE, преступники развернули скраперы памяти для сбора данных о платежных счетах, а затем использовали пакетный скрипт для массового развертывания вредоносного ПО в сети организации. Вредоносное ПО для PoS, использованное в рамках данной атаки, было идентифицировано как версия TinyPOS.

Источник: https://www.securitylab.ru/news/512730.php