Jak informują informatycy z firmy Trend Micro (którzy wykryli to zagrożenie i nadali mu roboczą nazwę Black Atlas) hakerzy włamują się do systemów IT eksploatowanych przez małe firmy, wykorzystując do tego celu zaawansowane narzędzia z grupy testów penetracyjnych. Są to narzędzia, które testują sieci pod kątem zabezpieczeń i wykrywają w nich słabe punkty.

Wiadomo już, że ataki Black Atlas prowadzone są co najmniej od września tego roku. Hakerzy używają takich narzędzi wykrywających słabe punkty systemów informatycznych, jak skanery portów, programy typu „brute force” odgadujące hasła, skanery badające protokół SMTP czy narzędzia z grupy „remote desktop view”.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku

Jak już wcześniej wspomniano, haker po włamaniu się do systemu IT instaluje w nim (w pamięci komputerów PC) szkodliwe oprogramowanie, które atakuje terminale POS instalując w ich pamięciach program typu „memory scraping”. Program ten kradnie z kart płatniczych pieniądze.

Informatycy z Trend Micro informują, że badając ataki Black Atlas zidentyfikowali kilka szkodliwych programów atakujących instalacje POS, takie jak Alina, NewPOSThings i BlackPOS. Program BlackPOS został pierwszy raz zidentyfikowany w 2013 roku, kradnąc wtedy pieniądze z ponad 40 mln kart płatniczych. BlackPOS tworzy plik tekstowy zwierający dane odczytane z karty płatniczej i przesyła go do botnetu Gorynych. Co dzieję się dalej łatwo się domyśleć.

Według firmy Trend Micro hakerzy zainstalowali do tej pory botnet Gorynych na wielu małych systemach IT funkcjonujących na całym świecie, najwięcej w takich krajach jak Niemcy, Wielka Brytania, USA, Australia, Indie i Tajwan.

Ciekawe jest to, że do atakowania terminali POS wykorzystywane są też spamy. Pisaliśmy o tym niedawno tutaj.