FireEye descobre furto de pelo menos 20M de cartões

FireEye descobre furto de pelo menos 20M de cartõesDia 21 de abril, feriado de Tiradentes no Brasil, a FireEye lançou globalmente um relatório de inteligência sobre um grupo de cybercriminosos batizado pelos especialistas da empresa como FIN6. A especialidade do grupo é dominar sistemas de PDV, principalmente de hotéis e estabelecimentos de varejo, para roubar dados de cartões de pagamentos. O dinheiro é ganho com a venda dos dados desses cartões para outros grupos de criminosos em marketplaces na deep web. A análise da FireEye sobre os dados vendidos através de um fornecedor indica que a atividade é muito rentável para os criminosos envolvidos: uma ‘loja’ estava oferecendo cerca de 20 milhões de cartões, predominantemente dos EUA, cada um a US$ 21 em média. Assim, o retorno financeiro para a loja pode ter sido de até $400 milhões.

Em entrevista ao Cybersecurity, Luiz dos Santos, Diretor Técnico da FireEye para América Latina, contou detalhes da descoberta. “O relatório foi feito em parceria com a iSight Partners, empresa adquirida em janeiro deste ano pela FireEye, e com a Mandiant”, contou Santos. Segundo ele, o grande diferencial do grupo é a motivação, voltada para cartões de débito ou de crédito com limites de compra altos – presentes em muitas transações de hotéis.

O ataque é bastante parecido, segundo Santos, com o que foi feito à rede Target de supermercados em 2014, nos EUA, jostamente com essa finalidade.

Não está totalmente claro como o FIN6 compromete as vítimas. Nas investigações realizadas pela Mandiant sobre estabelecimentos atacados, foi descoberto que o grupo já possuía credenciais válidas para a rede de cada vítima e as usava para a intrusão. Uma das hipóteses dos especialistas é que tenha sido utilizado o malware GRABNEW, mas inserido por outro grupo criminoso. O FIN6 pode ter obtido essas credenciais (por meio de compra ou negociação).

Depois de ganhar acesso com credenciais válidas, o FIN6 fazia uso dos componentes do Metasploit para ampliar sua ocupação. Foi utilizado por exemplo o PowerShell para baixar e executar shellcode, e configurar um ouvinte local que iria executar o shellcode recebido por uma porta específica. Da mesma forma, foram utilizados pelo menos dois downloaders (HARDTACK e SHIPBREAD) com acesso backdoor para o ambiente comprometido.

Em um caso particular, o FIN6 comprometeu e instalou o TRINITY – malware de ponto de vendas que tentar localizar e roubar dados de cartões de pagamento a partir da memória- em 2 mil sistemas, o que resultou na exposição de milhões de cartões.

Finalmente, para mover os dados dos cartões para fora da rede, o FIN6 utilizava um script para replicar sistematicamente através de uma lista de sistemas de POS (pontos de vendas) comprometidos, copiando os arquivos de dados coletados para um arquivo “log” numerado antes de remover os arquivos de dados originais. Então comprimiam os arquivos log em ZIP e os moviam para um sistema intermediário, e depois para um sistema de suporte. A partir daí, copiavam os dados roubados para servidores C2 externos sob seu controle usando o utilitário de comando FTP. Em um outro caso, a FireEye observou o grupo utilizar um método de extração alternativo, fazendo o upload dos dados roubados em um serviço público de compartilhamento de arquivos.

 

Mercado negro de dados de cartões

Através de informações coletadas pela iSIGHT Partners, identificou-se que os dados dos cartões de pagamento roubados nestas invasões eram vendidos em uma loja de cartões no mercado negro. Isso fecha o “ciclo de vida” da atividade cibercriminosa e exemplifica o intuito final: monetizar os dados roubados.

 

Os dados roubados pelo FIN6 acabam nas mãos de operadores de fraudes do mundo todo, que compram e exploram os dados comprados nas lojas do mercado negro. Identificou-se que os dados roubados pelo grupo começam a aparecer no mercado negro seis meses após o início das violações do FIN6.

 

 

0Shares

Powered by WordPress. Designed by Woo Themes