O malware ATM/PoS "recupera" da covid-19, número de ataques continua a crescer em 2022

 O malware ATM/PoS "recupera" da covid-19, número de ataques continua a crescer em 2022

Em 2020, o número de ataques aos terminais ATM e PoS diminuiu significativamente devido à pandemia. Agora, com os velhos padrões de gastos de volta, a atividade dos atores das ameaças está de novo em alta. O HydraPoS e o AbbadonPoS são as famílias de malware mais difundidas em 2022, representando cerca de 71% de todas as deteções. Para os ATMs, o malware mais ativo é Ploutus, representando 3% de todas as deteções nos primeiros oito meses de 2022. Estas e outras descobertas fazem parte de um novo relatório sobre malware de ATM/PoS emitido pela Kaspersky.

Os cibercriminosos atacam sistemas incorporados utilizados em ATMs e terminais de ponto de venda (PoS) para roubar dinheiro, credenciais de cartões de crédito e dados pessoais, e penetrar em sistemas para ganhar controlo sobre todos os dispositivos dentro de uma rede, e os atacantes podem obter milhares de dólares durante a noite. Muitas versões Windows utilizadas nos ATMs chegaram ao fim do seu suporte há muito tempo e podem ser um alvo fácil, enquanto os terminais de PoS são utilizados por muitas empresas com um baixo nível de maturidade cibernética.

Um olhar sobre os números: a atividade dos atacantes que regressam aos níveis pré-pandémicos

Quando a pandemia foi atingida, o número de ataques diminuiu acentuadamente em comparação com o ano anterior - de cerca de 8000 em 2019 para 5000 em 2020. De acordo com a avaliação dos peritos, isto ocorreu por várias razões - incluindo uma redução do número total de ATMs em todo o mundo, o seu encerramento durante as restrições pandémicas, bem como a diminuição geral das despesas das pessoas. Como consequência, os atacantes viram o seu mercado contrair-se em termos do número dos seus alvos.

Atualmente, as restrições abrandaram muito, os velhos padrões de despesa estão de volta e, por conseguinte, a atividade dos atores da ameaça está a ganhar ritmo. Em 2021, o número de dispositivos encontrados com malware ATM/PoS aumentou em 39% em comparação com o ano anterior. Nos primeiros oito meses de 2022, o número cresceu 18% em comparação com o mesmo período de 2020, e quase 4% em comparação com 2021. No total, 4173 dispositivos foram atacados em Janeiro-Agosto de 2022.

Número de dispositivos únicos que encontraram malware ATM/PoS nas primeiras metades de 2020-2022

Dada esta tendência, os peritos esperam que o número de ataques a dispositivos ATM/PoS aumente ainda mais no quarto trimestre de 2022. 

O malware PoS é o mais difundido

HydraPoS e AbbadonPoS representam cerca de 71% de todas as detecções de malware de ATM/PoS em 2020-2022, com 36% e 35%, respectivamente. O líder da classificação, HydraPoS, é originário do Brasil e é conhecido pela clonagem de cartões de crédito. De acordo com relatórios do Kaspersky Threat Intelligence Portal, esta família foi utilizada em ataques que envolvem engenharia social. "Existem diferentes técnicas. Elas dependem de quem está a conduzir o ataque e de que família é utilizada. Os atacantes fazem telefonemas ou vão mesmo aos escritórios das vítimas. Personificam um funcionário de um banco ou empresa de cartões de crédito e tentam convencer a vítima a instalar malware como se fosse uma actualização do sistema", comenta Fabio Assolini, Chefe do Centro de Investigação, Latin America na Kaspersky.

№	Family	Share by detections
1	HydraPoS	36%
2	AbaddonPoS	35%
3	Ploutus	3%
4	RawPoS	2%
5	Prilex	2%

As famílias de malware ATM/PoS mais ativas em 2022 por percentagem de deteções

O TOP-5 também inclui Ploutus (3%) - a família de malware utilizada para modificar o software legítimo e a escalada de privilégios para controlar os ATMs e obter privilégios administrativos que permitem aos criminosos ganharem jackpot nos ATMs a pedido. RawPoS (o malware capaz de extrair os dados completos da faixa magnética da memória volátil) e Prilex (os processos de abuso de malware relacionados com o software PoS e transacções de cartões de crédito e débito), são responsáveis por 2% por cada um. As outras 61 famílias analisadas e as modificações representam menos de 2% por cada uma.

"O malware de PoS é mais difundido do que o malware de ATM porque dá acesso muito fácil ao dinheiro. Se as caixas multibanco estão normalmente bem protegidas, os proprietários de cafés, restaurantes e lojas muitas vezes nem sequer pensam na segurança cibernética dos seus terminais de pagamento. Isto faz deles um alvo para os atacantes. Além disso, novos modelos de negócios criminosos como o do malware como serviço emergem para baixar a fasquia das competências para os potenciais atores de ameaça", elabora Fabio Assolini.

Para ler o relatório completo sobre malware ATM/PoS, por favor visite Securelist.com

Para manter os sistemas e dados incorporados seguros, os pesquisadores da Kaspersky recomendam implementar as seguintes medidas:

• Utilize uma solução multicamadas que proporcione uma selecção óptima de camadas de proteção para dar o melhor nível de segurança possível para dispositivos com diferentes potências e com diferentes cenários de implementação.
• Implemente técnicas de auto-proteção nos módulos de PoS, tais como a proteção disponível no nosso Kaspersky SDK, com o objetivo de impedir que o código malicioso adultere as transações geridas por esses módulos.
• Proteja os sistemas mais antigos com proteção atualizada. As soluções devem ser otimizadas para funcionar com plena funcionalidade nas versões mais antigas do Windows, bem como nas famílias mais recentes do Windows. Isto permite que a empresa tenha a certeza de que terá total apoio para as famílias mais antigas num futuro previsível, e tenha a oportunidade de atualizar sempre que for necessário.
• Instale uma solução de segurança que proteja os dispositivos de diferentes vetores de ataque, tais como Kaspersky Embedded Systems Security. Se o dispositivo tiver especificações de sistema extremamente baixas, a solução Kaspersky continuará a protegê-lo com um cenário de Negação por Defeito.
• Para instituições financeiras vítimas deste tipo de fraude, Kaspersky recomenda o Threat Attribution Engine para ajudar as equipas de IR a encontrar e detetar ameaças de ATM e PoS em ambientes atacados.
• Forneça à sua equipa o acesso à mais recente inteligência de ameaças (TI). O Portal Kaspersky Threat Intelligence é um ponto de acesso único para a TI da empresa, fornecendo dados de ciberataque e insights recolhidos pela Kaspersky ao longo dos últimos 20 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, Kaspersky anunciou o livre acesso a informação independente, continuamente atualizada, e de origem global sobre ciberataques e ameaças em curso. Solicite o acesso aqui.