По данным Visa, растет число атак с кражей данных топливных насосов

Атаки со скиммингом кредитных карт не являются чем-то новым для киберпреступников. В течение многих лет банкоматы и заправочные станции подвергались постоянной угрозе кражи личных данных путем незаконного получения данных кредитных карт. По этой причине широкой публике было предложено проявлять бдительность при оплате на насосе или снятии средств. Тем не менее, скимминг — не единственная угроза, с которой сталкиваются эти системы, поскольку киберпреступники продолжают находить новые способы кражи данных, о чем свидетельствует новый отчет о краже данных топливных насосов.

В отчете, только что опубликованном для общественности, Visa предупредила своих клиентов об агрессивной кампании по краже данных о топливных насосах, специально нацеленной на системы точек продаж (PoS) на топливных насосах. Атаки, по данным отдела Visa по борьбе с платежным мошенничеством (PFD), начались еще летом 2019 года.

Первый инцидент, по данным Visa, был осуществлен путем отправки фишингового электронного письма сотруднику заправочной станции, которое при открытии позволяло трояну удаленного доступа (RAT) получить доступ к сети продавца. Затем RAT смогла использовать доступ к сети из-за «отсутствия сегментации сети» для доступа к POS-системам у конкретного продавца ТРК. Как только это произошло, в систему PoS был внедрен скребок RAM, который взял на себя задачу кражи сохраненных данных. В случае второго инцидента неизвестно, как злоумышленники получили доступ к сети, но они смогли получить доступ к системе PoS через аналогичную RAT. Опять же, как и в первом случае, в среде POS был установлен скребок RAM, после чего данные были украдены.

Последний из изученных инцидентов стал поворотным моментом в расследовании Отдела Visa по мошенничеству с платежами. До этого момента Visa подозревала, что за атаками стоит FIN8, группа киберпреступников, действующая с 2016 года. И действительно, во время третьей атаки виновниками оказались FIN8. Мало того, что несколько серверов управления и контроля (C2), связанных с группой, были обнаружены Visa, как и в предыдущих атаках, но атака также использовала два разных типа вредоносных программ. Первая была вредоносной программой, уже связанной с FIN8, а вторая — неизвестной вредоносной программой, которая обладала всеми характеристиками программирования FIN8. Новое вредоносное ПО «представляет собой полнофункциональный бэкдор с шеллкодом, основанный на варианте RM3 модульного банковского вредоносного ПО Ursnif (также известного как Gozi/Gozi-ISFB)».

Есть большие подозрения, что это вредоносное ПО будет снова использовано в последующих атаках на PoS-системы топливных насосов. По этой причине Visa просит своих клиентов, а также поставщиков, принимающих их карты, укреплять свою безопасность и практиковать защитную осведомленность об угрозах.