FireEye раскрывает ботнет, который является принуждением скота его путь в системы кассовых терминалов для кражи учетных данных платежа.В новом скручивании на розничной безопасности платежа исследователях в фирме безопасности FireEye раскрыл ботнет, который в частности пробует к «в лоб» его путь в системы торговой точки (POS). FireEye назвал ботнет BrutPOS, потому что это использует метод «в лоб» для получения доступа к системам POS.В атаке грубой силой атакующий пытается ввести систему, испытывая серию комбинаций имени пользователя/пароля для получения доступа.
BrutPOS эффективно использует свой ботнет поставивших под угрозу машин, сканирующих для серверов POS и затем принуждения скота его путь в.«Вредоносное программное обеспечение POS – что-то, что было вокруг некоторое время», сказал Кайл Вилхойт, специалист по анализу разведывательных данных угрозы FireEye, eWEEK. «Однако вредоносное программное обеспечение POS, которое использует вынуждающие скота методы, является новым».Расследование FireEye нашло, что ботнет BrutPOS имел в его сети в общей сложности 5 622 захваченных компьютера, которые сообщают в командный пункт (C2) о серверах. Всего, существует пять серверов C2 для BrutPOS, хотя FireEye отмечает, что только два в настоящее время активны.«Другие рассматриваемые серверы были приведены в нерабочее состояние, вероятно деятелями, увековечивающими нападения», сказал Вилхойт.
Риск розничных утечек данных POS был вершиной ума для многих в 2014 вследствие многих высококлассных инцидентов. Американский Target ритейлера публично признал 19 декабря 2013, что он был нарушен, оставив 70 миллионов клиентов в опасности. Позже, сеть ресторанов, П.Ф. Чанг признал 12 июня, что это также была жертва утечки данных, вероятно результат ненадежности POS.
В его отчете FireEye не утверждает, что BrutPOS связан с любой публично раскрытой утечкой данных. Однако расследование FireEye нашло, что BrutPOS предназначался для 57 диапазонов IP-адреса, 32 из которых расположены в США.С точки зрения исправления там много вещей ритейлеры и операторы POS могут сделать для защиты себя.
В атаке грубой силой первый раунд нападения обычно следит за комбинациями имени пользователя/пароля по умолчанию. Также, одна вещь, которая должна быть сделана администраторами POS, состоит в том, чтобы изменить пароль по умолчанию.«Изменение паролей по умолчанию важно, чтобы гарантировать, что низко висящий плод легко не представлен», сказал Вилхойт.Идя шаг вперед, Wilhoit предлагает, чтобы RDP (Протокол удаленного рабочего стола), который работает на основе порта сервера 3389, был заблокирован вниз к доверяемым источникам.
BrutPOS нападают на целевой RDP в частности как на средство получить доступ.«Разрешение 3 389 доступов к терминалам POS от внешнего мира чрезвычайно важно», сказал Вилхойт. «Аналогично, во внутренних сетях, этот доступ должен быть в большой степени ограничен».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.