官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
疫情(COVID-19)期间,隔离政策迫使人们呆在家中,采用网络购物,这也致使PoS和ATM恶意软件活动大幅下降。如今,步入“后疫情”时代,随着人们逐步恢复以往的生活状态——去商店购物和存取钱——PoS和ATM恶意软件威胁也开始卷土重来:网络犯罪分子已经开始采取新的方法从银行和组织中偷窃,攻击的数量也在不断攀升。
通过破解ATM或PoS终端,攻击者可以在一夜之间获得数万美元。老式ATM的风险是最高的,因为它们很难修复或更换,而且很少使用安全软件来进一步降低它们本就不佳的性能。
PoS终端也经常受到攻击:很少有人意识到这些设备需要保护,但它们却掌握着数百名客户银行账户的钥匙。这些设备几乎在每一家商店、餐馆或其他类型的机构中都能找到,但它们却很容易被欺诈者利用。PoS终端受到攻击的原因与ATM机一样:由于PoS终端数量众多,大多数用户更新设备的时间过长,而且它们一般使用运行旧(且脆弱)软件的过时操作系统,以保持与遗留硬件和软件的兼容性。
攻击者正继续传播已经存在的、广泛使用的恶意软件来攻击PoS终端和ATM机。因此,这些攻击的威胁和事件的数量都在增加。
重要发现
在2022年的前八个月,受ATM/PoS恶意软件影响的唯一设备数量比2020年同期增长了19%,比2021年增长了近4%;
从2020年的低迷中复苏后,攻击数量继续稳步增长,我们预计网络犯罪活动将进一步增加;
HydraPOS和AbaddonPOS被证明是最活跃的恶意软件家族。前五名还包括Ploutus、RawPOS和Prilex。
ATM/PoS恶意软件攻击:COVID-19如何影响威胁场景,以及接下来会发生什么
2020年,ATM/PoS恶意软件攻击次数与2019年相比显著减少。具体来说,受影响系统的数量从2019年的8000多个下降到2020年的不到5000个。
【2018-2021年受ATM/PoS恶意软件影响的唯一设备数量】
这背后有几个值得关注的因素。拉丁美洲是ATM/POS恶意软件活动最“不安分”的地区之一,许多设备在隔离和官方限制期间被关闭。除此之外,全世界的提款机数量都在减少:例如,自2015年以来,英国ATM机的总数每年都在下降;在沙特,2021年运行的ATM设备数量下降了10%。可以说,攻击者面临着一个不断萎缩的市场。
这一趋势也可能与2020年COVID-19疫情期间消费者支出减少有关。根据爱尔兰中央银行的统计数据,在此期间,信用卡消费和现金提现都在减少。
成功的疫苗接种计划和新冠肺炎限制的取消使消费者恢复了熟悉的生活方式,正常的消费模式正在恢复。2021年,受ATM/PoS恶意软件影响的设备数量同比增长39%。
在2022年的前八个月,ATM/PoS恶意软件攻击的唯一设备数量比2020年同期增长了19%,比2021年增长了近4%。考虑到这些趋势,我们预计ATM/PoS交易将进一步增长,攻击者活动也将相应增加。
【2020-2022年上半年受ATM/PoS恶意软件影响的唯一设备数量】
2020-2022年受灾最严重的地区
俄罗斯在2017-2021年期间始终处于ATM/PoS恶意软件攻击领先地位。该国的ATM设备相对比较落后,许多用于ATM机的Windows版本早已过时,但仍在使用中,使其更易于遭受黑客攻击。
巴西是2017-2022年期间蝉联TOP榜单的另一成员,其ATM设备同样相当老旧。除此之外,该地区的攻击者一直忙于为现有的恶意软件创造新的变体。
津巴布韦在2021年首次进入前5名,并在2022年保持领先地位。近年来,该国一直在对外合作,以推动经济增长。基础设施的改善正在产生现金流,使该地区成为网络犯罪分子的诱人目标。
受ATM/PoS恶意软件影响排名前10的国家(2020-2022年)
2020年
国家 | 设备数量 |
俄罗斯 | 952 |
伊朗 | 891 |
巴西 | 316 |
越南 | 222 |
印度 | 210 |
美国 | 165 |
意大利 | 150 |
土耳其 | 122 |
德国 | 121 |
中国 | 118 |
2021年
国家 | 设备数量 |
俄罗斯 | 3036 |
伊朗 | 495 |
津巴布韦 | 435 |
巴西 | 245 |
印度 | 242 |
越南 | 157 |
美国 | 156 |
德国 | 134 |
中国 | 127 |
意大利 | 120 |
2022年
国家 | 设备数量 |
瑞士 | 1498 |
俄罗斯 | 1411 |
伊朗 | 315 |
津巴布韦 | 200 |
巴西 | 121 |
印度 | 81 |
美国 | 69 |
中国 | 63 |
越南 | 49 |
德国 | 38 |
2022年最活跃的恶意软件家族
HydraPoS和AbaddonPoS共占所有ATM/PoS恶意软件检测的约71%,分别为36%和35%。前5名还包括Ploutus(3%)、RawPoS和Prilex(各占2%),而接受审查的其余61个恶意软件家族和变种只占不到2%。
排名 | 恶意软件家族 | 检测占比 |
1 | HydraPoS | 36% |
2 | AbaddonPoS | 35% |
3 | Ploutus | 3% |
4 | RawPoS | 2% |
5 | Prilex | 2% |
以上TOP5恶意软件家族主要都是PoS恶意软件,除了Ploutus,它比ATM恶意软件更广泛,因为它捕食支付终端。这些系统被用于许多商店、餐馆和其他零售场所等网络安全水平通常较低的地方,因此要比提款机更容易被攻击者利用。提款机通常是银行的财产,在许多情况下有可靠的安全系统,更不用说物理访问限制了。
HydraPoS
HydraPoS最近还没有发布更新版本,但它在恶意软件家族排名中占据着强大的领先地位。这是一个源于巴西的PoS恶意软件工具,因克隆信用卡而臭名昭著。HydraPOS结合了多个恶意软件,有数百个不同的构建和版本,以及一些合法的第三方工具。2019年,卡巴斯基发现了一个添加到主模块的新功能,旨在提高持久性和隐身性。
HydraPOS已经在使用社会工程技术的攻击中被发现。网络犯罪分子在电话中假扮成一家信用卡公司的员工,要求员工访问一个网站并安装“更新”,这将引发感染,使犯罪分子能够进入该公司的系统。
AbaddonPoS
AbaddonPoS家族于2015年被发现,当时研究人员在Vawtrak感染期间发现了一个下载程序。AbaddonPoS,有时被检测为Trojan-Spy.Win32.POSCardStealer,是一种通用的、广泛使用的PoS恶意软件类型,具有诸如反分析,代码混淆,持久性以及用于窃取数据的自定义协议等功能。
Ploutus
2021年,研究人员在野发现了一种新的Ploutus版本。Ploutus是我们在过去几年看到的最先进的ATM恶意软件家族之一。该恶意软件于2013年在墨西哥首次被发现,之后不断更新版本,并一直以巴西等地的ATM机制造商等企业为目标。
该恶意软件通过修改正版软件和执行权限升级来控制ATM机并获得管理权限,使不法分子可以按需在ATM机中获得巨额收益。
RawPoS
最初是由Visa发现的RawPoS家族至少从2008年就已经开始使用。最初的目标是酒店行业,该恶意软件有许多更新版本,并能够从易挥发性内存提取完整的数据。
Prilex
据报道,Prilex最近以“恶意软件即服务”(MaaS)的形式出售。它从2014年开始活跃,来自巴西,如今已遍布全球。2022年,该恶意软件升级了攻击方法,以绕过授权策略,并继续滥用与PoS软件和卡交易相关的流程。
缓解建议
如果没有便捷的自动提现服务,今天的生活是难以想象的。自动取款机和PoS终端中使用的嵌入式系统可以帮助我们实现这一点。但是,这个市场积累的资金越多,对入侵者的吸引力就越大。尽管在大流行期间,此类威胁有所下降,但攻击者在过去两年已经再次加强了他们的活动:攻击和检测正在上升,因为来自知名恶意软件家族的新变体正在出现。新的网络犯罪商业模式(如“恶意软件即服务”)正在出现,进一步降低了攻击者的技能门槛。
企业需要比以往任何时候都更明智,以保证其系统和数据的安全。为了掌握最新的ATM/PoS威胁,安全专家建议实施以下措施:
使用多层解决方案,提供最优的保护层选择,为具有不同处理能力级别和实现场景的设备提供最佳的安全性;
在PoS模块中实现自我保护技术,以防止恶意代码篡改由这些模块管理的事务;
用最新的安全措施保护旧的系统,这种安全措施经过优化,可以在Windows的旧版本和最新版本上提供所有可用的功能;
安装安全解决方案,以保护设备免受各种攻击载体;
使用专业工具来帮助事件响应(IR)团队在受到攻击的环境中查找和检测恶意文件;
为团队提供访问最新威胁情报(TI)资源的权限。
原文链接:
https://securelist.com/atm-pos-malware-landscape-2020-2022/107656/
- 0 文章数
- 0 关注者