{"id":2132,"date":"2014-01-28T20:07:59","date_gmt":"2014-01-28T20:07:59","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=2132"},"modified":"2020-02-26T09:11:53","modified_gmt":"2020-02-26T15:11:53","slug":"raspadores-de-ram-y-pos-malware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/raspadores-de-ram-y-pos-malware\/2132\/","title":{"rendered":"Raspadores de RAM y PoS Malware"},"content":{"rendered":"

Aunque el ataque en s\u00ed mismo impact\u00f3 solamente en los Estados Unidos, es muy probable de que est\u00e9s al tanto de la irrupci\u00f3n que sufri\u00f3 el a\u00f1o pasado el gigante de las ventas al por menor: Target<\/a>. Seg\u00fan fuentes de la propia empresa, la informaci\u00f3n de las tarjetas de cr\u00e9dito de 40 millones de consumidores y los datos personales de otros 70 millones qued\u00f3 expuesta durante casi un mes (abarcando la mayor parte de la \u00e9poca de compras navide\u00f1as).<\/p>\n

\"pos\"<\/a><\/p>\n

Ustedes podr\u00e1n suponer que para robar la informaci\u00f3n crediticia de cientos de millones de compradores de Target, los atacantes necesitan comprometer alg\u00fan procesador de pagos o, quiz\u00e1s, los servidores corporativos de Target, para as\u00ed poder acceder a todos los datos masivos centralizados en una sola locaci\u00f3n. Esta hubiera sido una buena forma de robar una gran cantidad de informaci\u00f3n de pago del gigante minorista, pero, extra\u00f1amente, no fue esto lo que pas\u00f3 en el caso de Target.<\/p>\n

De hecho, el Sistema procesador de pagos de Target no tuvo mucho que ver con la forma del ataque. Quienquiera que haya sido el responsable de la irrupci\u00f3n a la cadena de almacenes utiliz\u00f3 un tipo especial de malware que b\u00e1sicamente ataca los lectores de tarjetas y las cajas registradoras. A este tipo de malware se lo conoce como Point-of-Sale (PoS) malware.<\/p>\n

Los PoS malwares est\u00e1n dise\u00f1ados para \u201craspar\u201d la informaci\u00f3n no encriptada de la RAM y, as\u00ed, obtener los datos crediticios de los usuarios: los n\u00fameros de las tarjetas, sus nombres, sus direcciones y sus c\u00f3digos de seguridad.<\/div>\n

Para ser claros: los atacantes probablemente se introdujeron en los servidores de pago de Target. En este punto, si bien cuando los datos de las tarjetas de cr\u00e9dito llegan a los servidores, la informaci\u00f3n est\u00e1 encriptada<\/a>, hay un peque\u00f1o per\u00edodo de tiempo en el que la informaci\u00f3n debe ser desencriptada en texto plano para la autorizaci\u00f3n del pago. En ese momento, la caja registradora \u2013o los servidores cercanos, dependiendo del sistema- almacenan la informaci\u00f3n de pago en la memoria RAM (Random Access Memory)<\/p>\n

Aqu\u00ed es cuando los PoS malwares entran en acci\u00f3n. Los PoS malwares est\u00e1n dise\u00f1ados para \u201craspar\u201d esta informaci\u00f3n no encriptada de la RAM y, as\u00ed, obtener la informaci\u00f3n crediticia de los usuarios: los n\u00fameros de las tarjetas, sus nombres, sus direcciones y sus c\u00f3digos de seguridad. Este tipo de softwares maliciosos conocidos como \u201craspadores de RAM<\/a>\u201d existen desde hace seis a\u00f1os. En el caso de Target, es muy probable que los atacantes hayan movido sus PoS malware desde un servidor central hacia las distintas terminales de los puntos de venta. De otra manera, los criminales hubieran tenido que instalar sus raspadores RAM en cada una de las terminales de los comercios de Target, lo cual, a priori, es bastante improbable.<\/p>\n

Un investigador de Seculert<\/a>, durante el an\u00e1lisis del incidente, indic\u00f3 que los atacantes comprometieron la infraestructura de los puntos de venta de Target por medio de una m\u00e1quina infectada en su red. Desde all\u00ed, instalaron una variaci\u00f3n del conocido malware BlackPOS, que se puede comprar f\u00e1cilmente en distintos foros en l\u00ednea de hackers (suponiendo que se sabe d\u00f3nde buscar).<\/p>\n

De acuerdo con un bolet\u00edn emitido por una coalici\u00f3n integrada por el Departamento de Homeland Security (DHS), el Servicio Secreto Estadounidense, el Centro de Integraci\u00f3n Nacional de Comunicaci\u00f3n y Ciberseguridad, iSIGHT Partners y el Centro de Informaci\u00f3n y An\u00e1lisis del Sector Financiero, el BlackPOS es particularmente sencillo de encontrar porque su c\u00f3digo fuente se hizo p\u00fablico recientemente.<\/p>\n

De todas formas, BlackPOS no es el \u00fanico tipo de PoS malware que existe, ni Target es la \u00fanica corporaci\u00f3n que debe lidiar con estas amenazas. De hecho, el departamento de ventas de alta gama Nieman Marcus y el minorista Michael\u2019s anunciaron que ellos tambi\u00e9n fueron v\u00edctimas de ataques similares. Algunos especialistas sugirieron que los tres ataques estaban relacionados, pero esas afirmaciones fueron puramente especulativas.<\/p>\n

El asesor de la coalici\u00f3n<\/a> advirti\u00f3 que los PoS malwares se encuentran al borde de una explosi\u00f3n. Muchas de las nuevas muestras, explica el asesor, ser\u00e1n peque\u00f1as modificaciones de troyanos bancarios ya existentes, como Zeus<\/a>. A medida que los PoS malwares se tornan cada vez m\u00e1s disponibles para los criminales y m\u00e1s visibles para las autoridades, los creadores de los raspadores de RAM (as\u00ed como lo hicieron los creadores de los troyanos bancarios anteriormente) comenzar\u00e1n a dise\u00f1ar troyanos m\u00e1s dif\u00edciles de detectar, para luego venderlos individualmente.<\/p>\n

Las compa\u00f1\u00edas de la coalici\u00f3n notificaron que hubo un aumento de avisos clasificados (en diferentes idiomas) sobre PoS malware en foros de desarrolladores freelance. En otras palabras, los criminales est\u00e1n publicando avisos ofreciendo dinero a desarrolladores freelance para que creen raspadores de RAM. Las empresas aseguran que la misma situaci\u00f3n ocurri\u00f3 en 2010. En ese a\u00f1o, cada proyecto subcontratado de PoS malware era valuado entre u$s425 y u$s2500. Hacia finales de 2010, la tarifa se elev\u00f3 a u$s6500, a medida que el inter\u00e9s en los malware continuaba creciendo.<\/p>\n

Por otra parte, los expertos de la coalici\u00f3n consideran que la proliferaci\u00f3n de PoS malware se intensificar\u00e1 a partir de la generaci\u00f3n de troyanos encargados de robar credenciales. \u00c9stos troyanos tienen un amplio acceso a los c\u00f3digos fuente que pueden ser f\u00e1cilmente modificados para realizar operaciones de raspado de RAM.<\/p>\n

\u201cUn c\u00f3digo fuente de una credencial robada podr\u00eda proporcionar una plataforma de partida para aquellos actores que no tienen la habilidad suficiente para crear un nuevo tipo de malware para el raspado de RAM o para aquellos actores que buscan aprovechar los trabajos hechos previamente para optimizar la eficiencia de sus esquemas de ataque\u201d, detall\u00f3 el asesor. \u201cEl hecho de que las barreras de entrada al mercado sean tan d\u00e9biles podr\u00eda desembocar en nuevos tipos de oferta y demanda de PoS malware y derivar en precios bajos y usos extensivos.<\/p>\n

Esto es clave. \u00a0Este paradigma existe\u00a0para cada faceta de cibercrimen. Al principio, los ataques son nuevos, dif\u00edciles de realizar y dif\u00edciles de replicar. Eventualmente, estos ataques ser ir\u00e1n volviendo cada vez m\u00e1s sencillos<\/a>, lo que le dar\u00e1 a los atacantes menos experimentados la posibilidad de realizarlos. Asimismo, los criminales m\u00e1s experimentados comenzar\u00e1n a crear \u201ckits de ataque\u201d de f\u00e1cil uso. \u00c9stos le permitir\u00e1n a cualquier persona con un teclado y una mala actitud participar en el cibercrimen.<\/p>\n

Esta es una situaci\u00f3n en donde no hay mucho que se pueda hacer. Obviamente no puedes entrar en un comercio de comestibles y reemplazar todas las m\u00e1quinas vulnerables que utilizan Windows XP por una infraestructura m\u00e1s moderna y segura. Es poco lo que puedes hacer para asegurarte de que los comerciantes est\u00e1n siguiendo las mejores pr\u00e1cticas en seguridad o verificando que cada equipo en su red est\u00e1 protegido.<\/p>\n

Otro problema es que, seguramente, vayan a producirse otros ataques e irrupciones, de los cuales nunca nos enteremos, ya sea porque la compa\u00f1\u00eda v\u00edctima del ataque es deshonesta o porque evita brindar informaci\u00f3n al respecto. En el caso de Target, las autoridades de la cadena de almacenes fueron claras y directas respecto de lo sucedido. Muchos bancos publicaron noticias en sus p\u00e1ginas web advirtiendo a sus clientes del riesgo, lo cual les permiti\u00f3 a los usuarios monitorear sus cuentas o, incluso, reemplazar las tarjetas comprometidas. Eso es, esencialmente, todo lo que puedes hacer: leer las noticias, controlar el balance de tu cuenta bancaria y conseguir nuevas tarjetas si la situaci\u00f3n lo requiere.<\/p>\n

\u00a0<\/p>\n

Traducido por: Guillermo Vidal Quinteiro<\/p>\n","protected":false},"excerpt":{"rendered":"

Aunque el ataque en s\u00ed mismo impact\u00f3 solamente en los Estados Unidos, es muy probable de que est\u00e9s al tanto de la irrupci\u00f3n que sufri\u00f3 el a\u00f1o pasado el gigante<\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[161,729,90,728,105,34,727,404],"class_list":{"0":"post-2132","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-threats","7":"tag-ataque","8":"tag-breach","9":"tag-hackers","10":"tag-irrupcion","11":"tag-kaspersky","12":"tag-malware-2","13":"tag-raspadores-ram","14":"tag-troyanos-bancarios"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/raspadores-de-ram-y-pos-malware\/2132\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataque\/","name":"ataque"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/2132","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=2132"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/2132\/revisions"}],"predecessor-version":[{"id":17381,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/2132\/revisions\/17381"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=2132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=2132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=2132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}