Investigadores de seguridad han descubierto una operación global de cibercrimen que ha infectado con malware a casi 1500 terminales de puntos de venta (PDV), sistemas de contabilidad y otras plataformas de oficina en negocios de 36 países.
Los sistemas infectados fueron unidos en un botnet que los investigadores de contra el cibercrimen de la inteligencia de la compañía IntelCrawler han denominado Nemanja. Los investigadores creen que los atacantes tras la operación pueden ser de Serbia.
El tamaño del botnet y la distribución mundial de sistemas infectados pone en perspectiva los problemas de seguridad enfrentados por proveedores de todo el mundo, problemas que fueron señalados por las brechas de seguridad en PDV en varios gigantes norteamericanos.
Los incidentes pasados sugieren que ha incrementado la atención por parte de los cibercriminales hacia proveedores y pequeños negocios que usan terminales de PDV, han dicho los investigadores de IntelCrawler el jueves en un post de blog. “Predecimos un número en aumento de nuevas brechas de seguridad en ambos sectores en los próximos años, así como la aparición de nuevos tipos de código malicioso apuntando a sistemas de caja registradora y sistemas de trastienda.”.
De acuerdo con IntelCrawler, el botnet Nemanja incluía 1478 sistemas infectados en países de la mayoría de continentes, incluyendo EEUU, Reino Unido, Canada, Australia, China, Rusia, Brasil y México.
Un análisis del botnet Nemanja desveló que los sistemas comprometidos empleaban una amplia variedad de PDV, sistemas de ventas en supermercados y software de contabilidad popular en varios países. Los investigadores de IntelCrawler identificaron al menos 25 programas distintos de este tipo utilizados en esos sistemas.
Esto no significa que las aplicaciones identificadas sean particularmente vulnerables o inseguras de utilizar, pero muestra que el malware Nemanja fue diseñado para trabajar con software diverso. A pesar de la habilidad para recoger datos de tarjetas de crédito, el malware también contenía funcionalidad keylogger para incerceptar credenciales que pudieran proveer de acceso a otros sistemas y bases de datos que contuvieran información sobre pagos o identificación personal.
IntelCrawler predice que muy pronto el malware de PDV será incorporado en forma de módulos en herramientas maliciosas de acceso remoto y otros troyanos, para ser utilizada con otros componentes, como los requeridos para el keylogging o el sniffing de tráfico.
La empresa de seguridad Trustwave dijo recientemente en un reporte que una de cada tres brechas de seguridad que la compañía investigó el año anterior incluía compromiso de terminales PDV. Un reporte por separado de Verizon fue publicado en abril, y basado en un mayor número de casos de brechas de seguridad, revelando que la intrusión en PDV era un factor en el 14% de las brechas de seguridad.
Los otros países en los que fue detectada afectación por el botnet Nemanja fueron Argentina, Austria, Bangladesh, Bélgica, Chile, República Checa, Dinamarca, Estonia, Francia, Alemania, Hong Kong, India, Indonesia, Israel, Italia, Japón, Países Bajos, Nueva Zelanda, Polonia, Portugal, Sudáfrica, España, Suiza, Taiwán, Turquía, Uruguay, Venezuela y Zambia.