Pratite nas preko RSS-aBot mreža BrutPOS napada slabo zaštićene POS sisteme
Vesti, 10.07.2014, 08:42 AM
Hiljade kompromitovanih računara pokušavaju da provale u POS (point-of-sale) sisteme koristeći brute-force tehnike da bi došli do kredencijala za daljinsko administriranje.
Kompromitovani računari deo su bot mreže koju su istraživači kompanije FireEye nazvali BrutPOS i za koju se veruje da je aktivna od februara ove godine, a možda i ranije.
Bot mreža skenira IP adrese koje određuju operateri bot mreže u potrazi za Remote Desktop Protocol servisom.
Kada identifikuje RDP servis, malver BrutPOS pokušava da se prijavi sa korisničkim imenima i lozinkama sa liste koju ima.
“Neka korisnička imena i lozinke ukazuju da napadači traže određene marke POS sistema kao što je Micros”, kažu iz kompanije FireEye.
Ako malver BrutPOS uspešno pogodi kredencijale za daljinski pristup sistemu, on šalje povratne informacije komandno-kontrolnom serveru (C&C). Napadači tada koriste ove informacije da bi ustanovili da li je sistem POS terminal, i ako jeste, onda instaliraju maliciozni program dizajniran da izvlači informacije o platnim kraticama iz memorije aplikacija na POS terminalima.
Takva vrsta malicioznog programa poznata je pod nazivom RAM scarper, i u poslednjih godinu dana se sve češće koristi u napadima na POS sisteme.
Istraživači iz firme IntelCrawler takođe su pratili malver BrutPOS, za koji u ovoj firmi veruju da se pojavio u sajber podzemlju u maju ove godine kao projekat nazvan @-Brt. Prema mišljenju stručnjaka iz IntelCrawlera, malver ne cilja samo na RDP, već i na druge protokole za daljinsku administraciju kao što su VNC i PCAnywhere.
FireEye je identifikovao pet C&C servera malvera BrutPOS, od kojih su dva još uvek online. Ta dva servera nalaze se u Rusiji, dok su ostali locirani u Iranu i Nemačkoj.
Podaci prikupljeni sa ovih servera ukazuju da bot mreža ima 5622 kompromitovana računara iz 119 zemalja. Istraživači su identifikovali 60 kompromitovanih sistema, verovatno POS terminala, od koji se 51 nalazi u SAD.
"Najčešće korisničko ime bilo je “adminstrator” (36) a najčešća lozinka “pos” (12) i “Password” (12)”, kažu u FireEye.
Prema podacima IntelCrawlera, druge najčešće lozinke korišćene na kompromitovanim sistemima su aloha12345, micros, pos12345, posadmin i javapos.
Iako nema dovoljno informacija da bi se utvrdilo odakle je došao malver BrutPOS, postoje indicije da su napadači najverovatnije iz istočne Evrope, i to iz Rusije ili Ukrajine.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
.jpg)
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
.jpg)
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade
Prijatelji
