+43 699 / 18199463
office@itexperst.at

BrutPOS-Botnet

Neben den vielen Advanced Persistent Threats-Angriffen (APT), die scheinbar nicht vorhersehbar sind, gibt es eine neue Bedrohung. Diese zielt allerdings auf einfach erreichbare Ziele ab. FireEye deckte ein neues Botnet auf – BrutPOS – welches sich gegen PoS-Systeme (Point-of-Sales, z.B. EC-Kartenautomaten) richtet. Es findet die Remote-Verwaltungssoftware und nutzt Brute-Force-Methoden, um Zugang zu Systemen mit schwachen Passwörtern zu erlangen.

Die Angreifer manipulieren schwache Passwort-Praktiken und laxe Implementierungen von Remote-Desktop-Protokollen (RDP). Somit können sie Zahlungsinformationen von aktiven Prozessen innerhalb des PoS-Terminals sowie anderen Speicherorten stehlen.

FireEye hat bisher fünf Command-and-Control-Server von BrutPOS entdeckt, drei davon sind inzwischen nicht mehr aktiv. Die zwei noch aktiven Server sind beide in Russland stationiert, sie wurden Ende Mai und Anfang Juni installiert. Die Verantwortlichen hinter BrutPOS stammen FireEye zufolge aus Osteuropa, wahrscheinlich der Ukraine oder Russland.

Das Botnet ist seit Februar aktiv. Bei der letzten Zählung bestand es aus 5.622 Bots in 119 Ländern – die Mehrheit befindet sich dabei in Russland (15,67 %), Indien (13,45 %), Vietnam (7,51 %), Iran (6,07 %) und Taiwan (4,13 %). Gleichzeitig sind nur wenige der Bots aktiv. Die Bots scannen ganze Blöcke von IP-Adressen in Bezug auf schwach gesicherte PoS-Software.

Joshua Goldfarb von FireEye:

„Das Interessante hierbei ist, dass sich die Malware nicht über eine Malware selbst verbreitet. Es nutzt das Remote-Desktop-Protokoll. Somit missbraucht es ein legitimes Protokoll.“

Innerhalb von zwei Wochen erlangten die Hacker Zugang zu 60 PoS-Systemen, 51 davon in den USA.

Der am meisten genutzte Benutzername bei den gehackten Systemen ist „administrator“, das populärste Passwort „pos“ oder „Password1“. Die Zugriffsmöglichkeit nutzen die Hacker dann, um Malware zum Diebstahl der Daten zu installieren und diese an den C&C-Server zu senden.

Goldfarb zufolge machen sich die Hacker einfach den Umstand zunutze, dass viele Organisationen immer noch nicht den simpelsten Sicherheitsmaßnahmen Folge leisten. Diese werden inzwischen seit zehn bis 20 Jahren empfohlen.

Er sagt:

„Praktisch gesehen können es sich die Hacker erlauben, faul zu sein. Denn die Unternehmen ermöglichen es ihnen. Die Angreifer geben sich nur so viel Mühe, wie unbedingt notwendig.“

Artikel von darkreading.com, 09.07.2014: BrutPOS Botnet Targets Retail’s Low-Hanging Fruit
Artikel von theregister.co.uk, 09.07.2014: ATTACK of the Windows ZOMBIES on point-of-sale terminals

 

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen