BrutPOS: malware que se aprovecha de los Puntos de Venta

cybercriminals-fireeye-itusersEl malware llamado BrutPOS accede remotamente al sistema para robar información de tarjetas de pago de las terminales de punto de venta comprometidas. Recomendaciones de la empresa FireEye para, también de una manera simple y fundacional, brindar seguridad a estas terminales.

Milpitas, California, 26 de julio del 2014.— FireEye, Inc. (NASDAQ: FEYE), líder en frenar los ciberataques avanzados de hoy en día, ha dado a conocer a través de FireEye Labs el malware para un botnet que llaman BrutPOS. Con una fuerte atención en las violaciones de datos en retail, BrutPOS nos da la oportunidad de mirar retrospectivamente sobre el estado de seguridad de este mercado.

La frase popular «una cadena es tan fuerte como su eslabón más débil» tiene gran relevancia en el mundo de la seguridad de la información. Hay un gran número de maneras de comprometer una red de negocios y los atacantes tienen bastante éxito en este esfuerzo utilizando métodos de ataque muy comunes. Esto plantea una pregunta importante: ¿Por qué sucede esto?…

Parte de la respuesta radica en el hecho de que los atacantes no sienten una gran necesidad de utilizar métodos de ataque particularmente sofisticados. En otras palabras, si los atacantes pueden tener éxito usando métodos de ataque bastante elementales, ¿porqué deberían trabajar más duro? Examinemos este principio a través del ejemplo del malware BrutPOS.

La mayoría de las empresas utilizan el protocolo de escritorio remoto de Microsoft (RDP) como parte integral de sus operaciones de negocio del día a día. RDP permite el acceso remoto a los sistemas Windows. Esto tiene muchos usos legítimos, tales como un administrador inicia sesión en un sistema remoto para actualizar un paquete de software.

Al igual que cualquier servicio legítimo, los atacantes también están muy contentos de aprovechar RDP para sus propios fines nefastos. Un ejemplo de esto es el malware BrutPOS, cuyo análisis fue detallado por FireEye.

A un alto nivel, el propósito del malware BrutPOS es comprometer las terminales de Punto de Venta (POS) a través del uso del protocolo de escritorio remoto (RDP). El malware tiene como objetivo robar información de tarjetas de pago de las terminales de punto de venta comprometidas. No hay necesidad de que los atacantes escriban un protocolo sofisticado para su malware para iniciar sesión en los sistemas de forma remota —la RDP funciona bastante bien.

Hay muchos enfoques que una organización puede tomar para manejar mejor el riesgo que se presenta con el malware BrutPOS. Uno de esos enfoques es volver a lo básico y recordar algunos importantes principios fundacionales de la seguridad de la información.

Este enfoque implica asegurar que las políticas de autenticación y autorización son sensibles y aplicadas en toda la organización. Por ejemplo, algunos sencillos pasos que una organización puede tomar para mejorar sus defensas contra amenazas como BrutPOS incluyen (pero no se limitan a):

  • No permitir el acceso administrativo a los sistemas, a excepción de las cuentas administrativas especiales para los administradores
  • Bloquear las cuentas después de un número N de intentos de acceso incorrectos
  • No permitir inicio de sesión RDP por defecto en sistemas, sino más bien, la concesión en función de las necesidades
  • Limitar o eliminar el uso de cuentas compartidas o de grupo
  • Monitoreo de registros de autenticación para intentos repetitivos fallidos de inicio de sesión a un sistema o varios sistemas

“Como las organizaciones buscan continuamente mejorar sus posturas de seguridad de la información, es importante recordar que principios fundacionales son tan válidos como siempre. Necesitamos asegurarnos de que contamos con una variedad de medidas defensivas en nuestro arsenal, pero es importante recordar que no todos ellos necesitan ser de vanguardia”, comentó Robert Freeman, Director Senior para LatAm de FireEye. Y continuó: “A veces, las mejores prácticas fundacionales pueden proporcionarnos enfoques directos a la mitigación del riesgo planteado por las amenazas modernas”.

FireEye ha creado una plataforma de seguridad especialmente diseñada, basada en máquina virtual, que proporciona protección contra amenazas en tiempo real a las empresas y gobiernos en todo el mundo en contra de la próxima generación de ataques cibernéticos. Estos ataques cibernéticos sofisticados eluden fácilmente las defensas tradicionales basadas en firmas, como los firewalls de próxima generación, IPS, antivirus y gateways.

La Plataforma de Prevención de Amenazas de FireEye proporciona en tiempo real, protección contra amenazas dinámicas, sin el uso de firmas para proteger a una organización a través de los vectores de amenazas primarias y a través de las diferentes etapas del  ciclo de vida de un ataque.

El núcleo de la plataforma FireEye es un motor de ejecución virtual, complementado por la inteligencia de amenazas dinámicas, para identificar y bloquear los ataques cibernéticos en tiempo real. FireEye cuenta con más de 2.200 clientes en más de 60 países, incluyendo más de 130 de las compañías .