Video: RAM Scraping and Point of Sale Malware (Oktober 2024)
Sementara Target masih menjaga ibu tentang bagaimana penyerang berhasil menembus jaringannya dan mengumpulkan informasi milik lebih dari 70 juta pembeli, kita sekarang tahu bahwa malware penghapus RAM digunakan dalam serangan itu.
"Kami tidak tahu sepenuhnya apa yang terjadi, tetapi yang kami tahu adalah bahwa ada malware yang diinstal pada register titik penjualan kami. Itu sudah kami buat, " kata CEO Target Gregg Steinhafel dalam sebuah wawancara dengan CNBC sedang mendiskusikan pelanggaran baru-baru ini. Perusahaan awalnya mengatakan informasi kartu pembayaran untuk 40 juta orang yang berbelanja di salah satu outlet ritelnya selama musim liburan dikompromikan. Target mengatakan minggu lalu bahwa informasi pribadi untuk 70 juta orang juga dicuri, dan bahwa setiap pembelanja yang datang ke toko-toko di sepanjang tahun 2013 berada dalam risiko.
Sumber yang tidak disebutkan namanya mengatakan kepada Reuters pada akhir pekan bahwa malware yang digunakan dalam serangan itu adalah pengikis RAM. RAM scraper adalah jenis malware tertentu yang menargetkan informasi yang disimpan dalam memori, sebagai lawan dari informasi yang disimpan di hard drive atau sedang dikirim melalui jaringan. Meskipun kelas malware ini bukan hal baru, para pakar keamanan mengatakan ada peningkatan jumlah serangan terhadap pengecer menggunakan teknik ini.
Memori Menyerang
Pencakar RAM melihat ke dalam memori komputer untuk mengambil data sensitif saat sedang diproses. Di bawah peraturan Standar Keamanan Industri-Data Kartu Pembayaran (PCI-DSS) saat ini, semua informasi pembayaran harus dienkripsi ketika disimpan pada sistem PoS dan juga ketika dipindahkan ke sistem back-end. Sementara penyerang masih dapat mencuri data dari hard drive, mereka tidak dapat melakukan apa-apa dengan itu jika dienkripsi, dan fakta bahwa data dienkripsi saat bepergian melalui jaringan berarti penyerang tidak dapat mengendus lalu lintas untuk mencuri apa pun.
Ini berarti hanya ada sedikit peluang - instan ketika perangkat lunak PoS memproses informasi - bagi penyerang untuk mengambil data. Perangkat lunak harus mendekripsi sementara data untuk melihat informasi transaksi, dan malware memanfaatkan momen itu untuk menyalin informasi dari memori.
Peningkatan malware penghapus RAM dapat dikaitkan dengan fakta bahwa pengecer semakin baik dalam mengenkripsi data sensitif. "Ini adalah perlombaan senjata. Kami membuat penghalang jalan dan para penyerang beradaptasi dan mencari cara lain untuk mengambil data, " kata Michael Sutton, wakil presiden riset keamanan di Zscaler.
Malware Lain
Penting untuk diingat bahwa terminal point-of-sale pada dasarnya adalah komputer, meskipun dengan periferal seperti pembaca kartu dan keypad terpasang. Mereka memiliki sistem operasi dan menjalankan perangkat lunak untuk menangani transaksi penjualan. Mereka terhubung ke jaringan untuk mentransfer data transaksi ke sistem back-end.
Dan sama seperti komputer lain, sistem PoS dapat terinfeksi malware. "Aturan tradisional masih berlaku, " kata Chester Wisniewski, penasihat keamanan senior di Sophos. Sistem PoS dapat terinfeksi karena karyawan menggunakan komputer itu untuk pergi ke situs Web yang menampung malware, atau secara tidak sengaja membuka lampiran berbahaya ke email. Malware tersebut dapat mengeksploitasi perangkat lunak yang tidak ditonton di komputer, atau salah satu dari banyak metode yang menyebabkan komputer terinfeksi.
"Semakin sedikit hak istimewa yang dimiliki para pekerja toko di terminal penjualan, semakin kecil kemungkinan mereka akan terinfeksi, " kata Wisniewski. Mesin yang memproses pembayaran ekstra sensitif dan seharusnya tidak memungkinkan penjelajahan Web atau pemasangan aplikasi yang tidak sah, katanya.
Setelah komputer terinfeksi, malware mencari jenis data tertentu dalam memori - dalam hal ini, nomor kartu kredit dan debit. Ketika menemukan nomor, itu menyimpannya ke file teks yang berisi daftar semua data yang telah dikumpulkannya. Pada titik tertentu, malware kemudian mengirimkan file - biasanya melalui jaringan - ke komputer penyerang.
Siapapun Adalah Sasaran
Sementara pengecer saat ini menjadi sasaran malware pengurai memori, Wisniewski mengatakan organisasi mana pun yang menangani kartu pembayaran akan rentan. Malware jenis ini pada awalnya digunakan di sektor perhotelan dan pendidikan, katanya. Sophos menyebut pencakar RAM sebagai Trackr Trojan, dan vendor lain menyebutnya Alina, Dexter, dan Vskimmer.
Faktanya, pencakar RAM tidak khusus untuk sistem PoS saja. Para penjahat cyber dapat mengemas malware untuk mencuri data dalam situasi apa pun di mana informasi itu biasanya dienkripsi, kata Sutton.
Visa mengeluarkan dua peringatan keamanan pada bulan April dan Agustus tahun lalu memperingatkan pedagang serangan menggunakan malware PoS pars-memori. "Sejak Januari 2013, Visa telah melihat peningkatan intrusi jaringan yang melibatkan pedagang eceran, " kata Visa pada bulan Agustus.
Tidak jelas bagaimana malware masuk ke jaringan Target, tetapi jelas ada sesuatu yang gagal. Malware tidak diinstal pada hanya satu sistem PoS, tetapi pada banyak komputer di seluruh negeri, dan "tidak ada yang memperhatikan, " kata Sutton. Dan bahkan jika malware itu terlalu baru untuk dideteksi oleh antivirus, fakta bahwa ia mentransfer data dari jaringan seharusnya telah menaikkan tanda bahaya, tambahnya.
Untuk pembelanja individual, tidak menggunakan kartu kredit sebenarnya bukan pilihan. Inilah sebabnya mengapa penting untuk secara teratur memonitor laporan dan melacak semua transaksi pada akun mereka. "Anda harus mempercayai pengecer dengan data Anda, tetapi Anda juga bisa tetap waspada, " kata Sutton.
