Cadena de restaurantes estadounidense víctima de ataque de malware

Landry’s, una popular cadena de restaurantes en Estados Unidos, ha anunciado que su sistema de punto de venta (PoS, por sus siglas en inglés) ha sido víctima de un ataque de malware que ha permitido a los cibercriminales robar información sobre los medios de pago de los clientes del restaurante.

La cadena Landry’s es dueña y opera más de 600 bares, restaurantes, hoteles, casinos, y establecimientos de comida y bebida. Entre estos, más de 60 marcas diferentes han sido afectadas, como por ejemplo Landry’s Seafood, Chart House, Saltgrass Steak House, Claim Jumper, Morton’s The Steakhouse, Mastro’s Restaurantes, y Rainforest Cafe.

Según la notificación de Landry’s sobre el ataque, publicada esta semana, el malware usado en el ataque fue diseñado para buscar y robar información sensible de las tarjetas de crédito de los clientes, incluyendo el número de la tarjeta, la fecha de caducidad, código de verificación y, en algunos casos, el nombre del dueño de la tarjeta. A pesar de que la cadena renovó su sistema de punto de venta anterior por un sistema con cifrado de extremo a extremo tras una brecha de información en 2016, los sistemas de orden de pedidos no se protegieron de la manera adecuada, y este ha sido el punto de acceso de los atacantes para introducir el malware.

Los terminales de punto de venta infectados por el malware tipo PoS usan a su vez «sistemas de orden de pedidos con lector de tarjetas (no de pago), que son usados por los camareros para transmitir los pedidos a la cocina y el bar y para pasar las tarjetas regalo de Landry’s Select Club». Esto permitió a los atacantes robar con éxito los datos de pago de los clientes cuando ocasionalmente los camareros pasaban por error las tarjetas de crédito por el lector de orden de pedidos en lugar de por el lector destinado al pago con tarjeta.

La cadena de restaurantes no ha hecho ningún comentario acerca de cuántos clientes se han podido ver afectados, pero, sin embargo, está «notificando» a sus clientes sobre la situación.

«El malware buscaba información sensible (que a veces podía incluir el nombre del dueño de la tarjeta, además del número de la misma, la fecha de caducidad y un código de verificación interno). Esta información era leída después de que la tarjeta fuese pasada por el camarero por el lector de tarjetas del sistema de entrada de pedidos. En algunos casos, el malware solo identificaba la parte magnética de la tarjeta, que contenía información de pago de la susodicha pero no el nombre del dueño».

Según la cadena, el malware PoS ha estado escaneando de manera activa sus sistemas entre el 13 de marzo de 2019 y el 17 de octubre de ese mismo año, buscando y obteniendo información sobre las tarjetas de crédito; en algunos puntos podría haber estado activo desde tan pronto como el 18 de enero de 2019.

«Durante la investigación eliminamos el malware e implementamos medidas de seguridad, así como también estamos educando a nuestros trabajadores», decía la cadena de restaurantes.

¿Cómo funciona un malware PoS?

El objetivo de un malware PoS es robar información relacionada con transacciones financieras, incluyendo la información de la tarjeta de crédito.

Sin embargo, debido a la naturaleza de los dispositivos PoS, el comportamiento de las distintas versiones de malware PoS difiere de una a otra. La industria de pago por tarjeta utiliza una serie de medidas de seguridad entre las que se impone el uso del cifrado de extremo a extremo en el caso de información sensible de pago -éste se encuentra en la banda magnética de la tarjeta o en el chip- cuando dicha información se transmite, se recibe o se almacena. El malware PoS tiene como objetivo concreto robar la información no cifrada que está en la RAM, proceso conocido como RAM scraping.

Para ejecutar RAM scraping, este malware normalmente busca fallos de seguridad para entrar al sistema. Estos fallos pueden incluir credenciales de acceso por defecto, o sistemas comprometidos de terceras partes. Una vez comprometido el sistema, el malware PoS puede seleccionar la información que quiere robar y subirla a un servidor remoto. Es de esperar, pues, que la mayoría de malware tengan una puerta trasera y funciones de control y comando (C&C).

Los malware PoS tienen sus limitaciones. La información robada no puede ser usada para realizar compras online. La banda magnética y el chip no contienen el CVV2 (el código de tres dígitos necesario para hacer compras en Internet). Para usar la información robada, el atacante o quien compre los datos (en caso de ser vendidos en la Deep Web) tendría que clonar físicamente la tarjeta de crédito.

¿Cómo puede un establecimiento o un particular protegerse contra este tipo de malware?

A pesar de que este tipo de malware resulta de mayor preocupación para los dueños de los establecimientos que para los clientes, estos últimos también deberían estar atentos a los movimientos de sus tarjetas por si percibiesen alguna compra extraña no autorizada, por ejemplo.

Por su parte, los establecimientos deberían comprobar si sus medidas de seguridad y sistemas actuales son lo suficientemente eficaces o si, por el contrario, se podrían mejorar. Por ejemplo, los sistemas PoS podrían protegerse mejor con el uso de listas blancas o bloqueo de sistemas. Permitir que solo aplicaciones específicas puedan ser ejecutadas en el sistema haría que fuese más complicado para el malware infectar dispositivos PoS.

Además, también deberían emplearse medidas de seguridad en la red, ya que así se podría detectar algún comportamiento inusual en la misma, como por ejemplo, la instalación de malware en múltiples dispositivos o la cantidad de información que es transmitida a través de dicha red.

Por último, también existen medidas genéricas de seguridad que pueden servir como protección frente a este tipo de malware. Por ejemplo, usar contraseñas fuertes y actualizar las aplicaciones puede frustrar los intentos de acceder al sistema mediante ataques de fuerza bruta o exploits. De la misma forma, instalar un firewall puede ayudar a impedir que los cibercriminales ganen acceso a o a través de redes comprometidas.

Más información

Landry’s Restaurant Chain Suffers Payment Card Theft Via PoS Malware

US Restaurant Chain Landry’s Hit by POS Malware

PoS (point-of-sale) malware

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.