Oracle MICROS Hacker infiltrieren fünf weitere Kassenregister

Hacker haben mindestens fünf Kassenanbieter verletzt, die Hunderte von Tausenden von Unternehmen in den Vereinigten Staaten beliefern, wurde FORBES mitgeteilt. Nach dem investigativen Reporter Brian Krebs berichtete ein Kompromiss von Oracle’sORCL + 0,32% MICROS-Einheit Anfang dieser Woche, es scheint nun die gleiche angeblich russische Cybercrime-Bande hat fünf andere im letzten Monat getroffen: Cin7, ECRS, Navy Zebra, PAR Technology und Uniwell . Gemeinsam liefern sie so viele wie wenn nicht mehr als 1 Million Point-of-Sale-Systeme weltweit.

Der normale modus operandi der Hacker war einfach: Erstens finden Sie Schwachstellen im Point-of-Sale (PoS) Systemverkäufer-Server und hacken sie. (PoS-Systeme, ob Kassen oder anderweitig, speichern und verarbeiten Kunden Kreditkartendaten). Von dort aus versuchten sie, Passwörter von Einzelhandelskunden entweder während oder nach dem Einstieg zu stehlen. Sie konnten dann versuchen, einen fernen Zugang in den PoS-Computer des Einzelhändlers zu erlangen, der wahrscheinlich die Kreditkarteninformationen der Käufer halten würde.

Bisher ist es jedoch unklar, was, wenn überhaupt, sensible Daten von den Anbietern pilfered wurden. Dennoch, dass eine Gruppe es geschafft hat, eine Reihe von PoS-Anbietern in den letzten Monaten zu infiltrieren, kann dazu beitragen, eine Flut von Angriffen auf Einzelhandel und Hotelketten zu erklären. Im letzten Jahr haben bedeutende Verstöße gegen die Hotelgruppe von Donald Trump, Hyatt, Kimpton und 1.000 Wendys Restaurants, unter anderem getroffen.

Welle der Massenausbeutung

Die Offenbarungen der jüngsten Verletzungen stammten von Alex Holden, CISO und Gründer von Hold Security, einer Cybercrime Monitoring Company. Holden verabschiedete die FORBES-Informationen, die er von den Hackern hinter den Brüchen erworben hatte, die die Kontrolle über die Server, die zu den PoS-Anbietern gehörten, einschließlich der Oracle-Eigenschaft beansprucht hatten. In manchen Fällen zeigte der Hacker die Benutzernamen und Passwörter auf den Servern als Nachweis auf den Server.

Als FORBES die fünf Opfer kontaktierte, bestätigten vier, dass sie in unterschiedlichem Grade gehackt worden waren. Man sagte, es sei untersucht. Oracle bestätigte seinen Bruch früher in dieser Woche und behauptete, dass Legacy-Systeme betroffen waren und allen MICROS-Kunden erklärten, ihre Passwörter zu ändern.

Ein Sprecher von ECRS, der Tausende von Kunden in den USA behauptet, bestätigte, dass ein Datenbruch in myECRS aufgetreten ist, von Kunden verwendet wird, um Produktdokumentation zu überprüfen, Software herunterzuladen und technische Unterstützung zu erhalten. „ECRS war in der Lage zu bestätigen, dass eine unbekannte Entität in der Lage war, bösartigen Code auf diesem Web-Portal zu platzieren. Beweis zeigt an, dass der Angreifer eine sehr kürzlich entdeckte Schwachstelle in der Drittanbieter-Webserver-Software ausnutzt, die dieses Portal dazu bringt, diesen Code zu platzieren“ Ein Sprecher sagte. FORBES glaubt, dass die betroffene Website auf einem Apache Webserver lief, obwohl es keine Anzeichen dafür gibt, welche Schwachstelle ausgenutzt wurde.

Das Unternehmen sagte, dass keine Software, die vom Portal verteilt wurde, vom Angreifer geändert worden war; Die Hacker hätten Chaos verursachen können, wenn sie es geschafft hätten, Malware weiter in verdammten Downloads zu verbreiten. „Darüber hinaus wurde das betroffene System von den Systemen getrennt, die ECRS verwendet, um den Fernzugriff auf Händler-Systeme zu erleichtern, und das betroffene System wurde nicht verwendet, um sensible Informationen über die Kreditkartenabwicklung zu speichern“, fügte der Sprecher hinzu.

Sie gaben zu, dass es möglich war, wenn auch nicht bestätigt, dass Kontaktinformationen, einschließlich Geschäftsadressen, Telefonnummern, Namen und E-Mail-Adressen von aktuellen und ehemaligen Mitarbeitern, Anbietern, verbundenen Unternehmen und Kunden von ECRS, vom Angreifer gestohlen wurden. Kunden wurden geraten, vorsichtig zu sein, wenn sie von den Personen, die von ECRS kommen, kontaktiert werden, da es die Hacker sein können, die in der Lage sind, Händler zu betrügen oder sie in die Übergabe von mehr Informationen zu bringen.

Das Unternehmen sagte, es hat die Strafverfolgung kontaktiert, hat die Malware entfernt und wird eine neue Version des Portals morgen freigeben. Es wird eine Kennwortänderung für alle Händler mit myECRS erzwingen.

Cin7, ein junger britischer Anbieter, der behauptet, Hunderte von zahlenden Kunden in 51 Ländern einschließlich der USA zu haben, bestätigte, dass bösartiger Code auf einem seiner Server läuft. Firmengründer Danny Ing sagte, die Malware sei jetzt entfernt worden.

„Der schädliche Code wurde entworfen, um Passwörter aus der Datenbank oder dem Betriebssystem zu erhalten. Wir untersuchen derzeit das Ausmaß der Verletzung und wir werden die Kunden bei Bedarf informieren“, sagte Ing. FORBES.

„Auf der Oberfläche scheint es keinen Schaden oder Verlust von Daten zu geben. Unser Team wird weiter untersuchen … das ist ein äußerst ernstes Problem und wir bestimmen jetzt die passende Antwort.“

Navy Zebra, eine Tochtergesellschaft von Bankcard Services, bestätigte, dass es in die Forderungen schaute, aber noch eine formale Antwort auf seine Erkenntnisse liefert. Ein Sprecher sagte, das Unternehmen habe keine „privaten Daten“ gespeichert. Es liefert 26.000 Unternehmen in den USA. Der Hacker hatte Beweise für zwei getrennte Hintergründe auf Navy Zebra Servern gegeben.

PAR Technology Corporation, wahrscheinlich die größte der gezielten und eine börsennotierte Unternehmen, sagte der gehackte Server war nicht-Material und Keine Produktionsdaten enthalten. „Wir sehen es als eine nicht-materielle Veranstaltung an. Wir beschäftigen uns mit diesem Zeug die ganze Zeit, die Leute schauen immer wieder nach draußen“, sagte Kevin Jaskolka, PARTech Vice President Marketing. „Wir fühlen uns sehr gut über unsere Sicherheitsstandards.“ PARTech schuf das branchenweit erste eigenständige PoS-Terminal für McDonald’s im Jahr 1978. Zu den kürzlich veröffentlichten Kunden gehören Lenny’s Subs, Restaurantkette Five Guys und Irlands größte Pub-Organisation, die Louis Fitzgerald Group.

Im Juli gab es $ 52,7 Millionen Umsatz für das zweite Quartal des Geschäftsjahres 2016.Uniwell Präsident Steve Mori sagte der gehackt nur enthalten „public domain“ Informationen, wie Produkthandbücher, Installationsdokumente und Broschüren. Nichts Vertrauliches wurde gestohlen, sagte er, aber bemerkte Anmeldeinformationen mussten geändert werden. „Vorwärts gehen, ist unser Plan, unseren uniwell-americas.com Webserver herunterzufahren, da wir glauben, dass es anfällig bleibt. Wir werden andere sichere Dienste nutzen, um unseren Kunden den Zugang zu Handbüchern und Dokumentationen zu erleichtern“, sagte Mori.Uniwell behauptet, mehr zu haben Als weltweit 500.000 Point-of-Sale-Terminals. Die anderen Firmen haben nicht gezeigt, wie viele Point-of-Sale-Systeme sie eingesetzt haben. Als MICROS 330.000 verschiedene Unternehmen diente, ist es wahrscheinlich, dass die verletzten Unternehmen weit über 1 Million computergesteuerte Registrierkassen liefern.

Es gibt also verständliche Besorgnis über den weitverbreiteten Zugang der Hacker, möglicherweise tief in die amerikanische Einzelhandelsbranche. „Es gibt definitiv ein hohes Maß an Interesse an PoS-Anbietern als Gateways in Einzelhändler. In vielen Fällen scheinen Hacker an Support-Informationen interessiert zu sein Mit dem Ziel, in entfernte Systeme als der höchste autorisierte Benutzer zu kommen „, sagte Holden,“ das ist eine neue Welle der Massenausnutzung. „Wer hinter den Hacks steht, nach Krebs zeigten die Quellen die Carbanak-Bande, auch bekannt als Anunak, Wurde mit dem Oracle-Bruch verknüpft, da die Hacker einen von der Mannschaft betriebenen Server benutzt hatten. Um klar zu sein, obwohl Carbanak ist der Name von Sicherheitsforschern zu einer Sammlung von Malware gegeben, eine ursprünglich gedacht, von einer einzigen Gruppe betrieben werden, weithin geglaubt, um Russisch und verantwortlich für so viel wie $ 1 Milliarde in Diebstahl. Aber die Carbanak Malware, FORBES versteht, wird von mehr als einer Cyberkriminalität verwendet. Laut Peter Kruse, Gründer der CSIS Security Group, hat mindestens eine Hacker-Crew Carbanak mit einer anderen berüchtigten Malware, Dridex, kombiniert.

Die letzteren würden über die Ziele hinweg verwendet, wobei die Carbanak-Werkzeuge für eine tiefere Durchdringung von Zielen von Interesse verwendet wurden, sagte er zu FORBES. „Wir haben gesehen [Carbanak] als eine zweite Stufe der Nutzlast auf eine zufällige Dridex-Infektion fallen gelassen“, sagte Kruse. „So scheint es, dass mindestens einer der Gruppen Dridex als anfänglichen Infector verwendet, und dann verwenden, um Infektionen von Interesse zu erkennen … Clever, um in Masseninfektionen zu verstecken und dann mit fortgeschrittener und gezielter Malware gegen die von Interesse.“ Holden glaubt, dass ein russischer Hacker in Einzelhandelslieferanten einbricht, bevor er den Zugang zu den letzten Fällen durch englischsprachige Personen verkauft. Im Fall von Navy Zebra behauptete der englischsprachige Hacker, bereits den Zugang zum Server des Unternehmens zu haben. Nach Holden, die gleichen Hacker betrieben Botnets und Verkauf von Kreditkarten-Dumps in den letzten Jahren.

Erst vor kurzem haben sie angefangen, PoS-Anbieter zu begegnen. Er ist unsicher, ob sie alle Teil der Carbanak-Bande sind.FORBES wurde zuvor gesagt, Hacker mit Carbanak-Tools waren verantwortlich für einen 2014 Hack Bürobüro Staples, nabbing Daten auf 1,16 Millionen Kreditkarten. Einzelhändler Sheplers und Bebe wurden auch gesagt worden, getroffen zu werden. Für fünf Monate des letzten Jahres verschwand Carbanak, nur um in diesem Jahr ernst zu kommen. Die Gruppe hatte begonnen, eine breitere Palette oder Organisationen, einschließlich der Budget-und Buchhaltungsabteilungen der Unternehmen, nach einer Kaspersky-Labor-Analyse. In einem besonders außergewöhnlichen Hack veränderte die Bande den Namen der Eigentumsrekorde eines Opferunternehmens, so dass ein Geldmaul zum Firmenchef wurde. Wer Carbanak benutzt, verursacht jetzt einen erheblichen Schaden an US-Einzelhandelsunternehmen. Und sie sind wahrscheinlich Pilfering eine große Anzahl von Amerikanern Kreditkarten-Daten zu booten.