L’industrie hôtelière a un problème de malware de points de vente

Suis-je le seul à trouver la récente montée des violations de données dans les hôtels fondamentalement préoccupante ? En tant que voyageur, vous êtes dans une position vulnérable, et vous...
Michael Buckbee
5 minute de lecture
Dernière mise à jour 5 octobre 2023

Suis-je le seul à trouver la récente montée des violations de données dans les hôtels fondamentalement préoccupante ? En tant que voyageur, vous êtes dans une position vulnérable, et vous voulez croire que la chambre que vous avez réservée constitue votre forteresse. Et une forteresse sécurisée : les portes comportent souvent plusieurs serrures, la chambre contient un minuscule coffre-fort pour entreposer vos objets de valeur, et des caméras de sécurité gardent le hall.

Bien sûr, en tant que structures d’accueil, les hôtels ont reconnu depuis longtemps qu’ils ont des responsabilités spéciales. Mais les hôtels hébergent aussi vos données, et en particulier vos données de carte de crédit. D’après la recrudescence des vols de données dans les hôtels, ce secteur d’activité ne s’est pas montré à la hauteur en matière de sécurité. Il s’avère que le vecteur d’attaque de ces violations hôtelières est le même logiciel malveillant de points de vente (PDV) employé contre les grandes surfaces.

Exactement. BlackPos et d’autres variantes de RAM scrapers ont pris de longues vacances dans les hôtels (pendant plusieurs mois apparemment) et y ont capturé de nombreux numéros de carte de crédit.

Ce qui rend toute l’affaire si surprenante est que peu de choses ont été apprises des énormes violations de la grande distribution.

Scénario d’attaque d’un logiciel malveillant de PDV

Il n’y a rien de vraiment nouveau dans la chaîne d’attaque de ces incidents. Peut-être seulement une chose. Il existe un nouveau malware de PDV plus furtif que les techniques de la vieille école et qui pourrait avoir joué un rôle dans certains cambriolages de données hôtelières.

En tout cas, la plupart des analystes en sécurité seraient probablement d’accord sur le scénario suivant :

  • Les attaquants entrent par (bâillement) phishing, injection SQL ou une autre vulnérabilité bien connue (mots de passe par défaut, etc.). Ils utilisent probablement un RAT ou un autre outil pour la partie initiale de l’attaque.
  • Après avoir établi une tête de pont, ils se déplacent latéralement au moyen de techniques standard telles que le balayage des ports, le contournement des conventions de nommage des hôtes, le craquage des mots de passe et le Pass the Hash, toutes les méthodes que nous avons abordées dans notre série d’évaluations écrites. Le but consiste à trouver une machine ou un serveur de PDV.
  • Après avoir identifié les périphériques de PDV, les attaquants insèrent la charge utile (le logiciel spécial de lecture de la RAM) et quittent les lieux. À ce stade, ce logiciel « PoSware » prend le relais, contrôlé à distance par les pirates depuis leurs serveurs C2.
  • Le PoSware commence à scruter la mémoire du système d’exploitation et à recueillir des données de cartes de crédit, puis vide périodiquement ces données vers le système de fichiers.
  • Enfin, le PoSware exfiltre le fichier de données de cartes de crédit vers les serveurs C2 en l’incorporant à des requêtes HTTP de type POST ou GET.

Bien qu’il existe des variations, le modus operandi ci-dessus reste vrai pour la plupart des attaques de PDV que nous avons vues au cours de ces dernières années.

Jouer en défense

Mais tout comme nous savons comment l’attaque se déroule, les experts en sécurité comprennent aussi la chaîne de destruction, ou comment arrêter l’attaque à différents points de son cycle. Nous avons également rassemblé certains de ces conseils dans un article écrit en 2014.

Cependant, un des facteurs susceptibles d’avoir changé la donne est que les amateurs ont été remplacés par des pros. Des bandes telles que Black Atlas ont transformé le piratage de PDV en entreprise criminelle.

Il devient donc encore plus essentiel d’augmenter de quelques crans la priorité informatique de la chaîne de destruction des PoSware, en particulier si vous travaillez dans le secteur de l’hôtellerie et des loisirs.

Voici quelques domaines clés dans lesquels je pense qu’un modeste investissement apportera d’énormes avantages en matière de sécurité :

  • Formation des employés – Si vous expliquez à vos employés ce à quoi ressemble un phish mail, vous pouvez arrêter la plupart des attaques dès le début. Dire aux employés de ne jamais cliquer sur un lien ou une pièce jointe d’un courrier électronique externe avant de s’assurer de l’identité de l’expéditeur constitue une bonne stratégie. Nous vous recommandons notre propre e-book sur la question, Anatomy of a Phish.
  • Gouvernance des données – Les attaquants ne sont pas des extra-terrestres issus d’une civilisation avancée. Comme le reste de l’humanité, ils doivent accéder au système de fichiers lors de la phase initiale de surveillance et d’exfiltration. L’idée consiste à examiner soigneusement les listes de contrôle d’accès et à restreindre les accès afin que les pirates ne puissent pas tirer parti des informations d’identification d’un utilisateur aléatoire pour lire, copier et créer des fichiers dans les dossiers et répertoires sensibles.
  • Listes d’autorisation – Les systèmes de PDV ne devraient exécuter que les logiciels d’un ensemble bien défini. Après tout, ce sont des ordinateurs dont le but est uniquement de traiter des transactions de cartes de crédit. En théorie, les logiciels de listes d’autorisation qui empêchent le SE de lancer des exécutables non standard constituent un antidote à ces logiciels de piratage. Cependant, la cuvée peut changer. Certaines attaques récentes utilisaient des techniques de rootkit modifiant le noyau qui rendaient ainsi le logiciel malveillant pratiquement invisible au système d’exploitation.
  • Gestion des correctifs – Assurez-vous de disposer des correctifs de sécurité les plus récents. Nous en avons assez dit.
  • Gestion des informations d’identification/prévention du Pass the Hash (PtH) – Une vaste catégorie. En clair : ne facilitez pas la tâche aux pirates quand il s’agit d’obtenir des informations d’identification. Assurez-vous d’avoir mis en place des stratégies de mots de passe robustes. Recherchez et supprimez les fichiers de mots de passe en clair ou les fichiers de hachage de mots de passe. Et si possible, désactivez le stockage des mots de passe en clair effectué par Windows en mémoire LSASS. Enfin, assurez-vous que les comptes d’administrateurs de niveau domaine ne sont pas utilisés pour la mise en réseau des machines des utilisateurs : cela permet aux pirates de voler les joyaux de la couronne au moyen du PtH.

Qui veut l’UBA ?

Les attaquants misent sur la chance, et ils peuvent donc quand même en avoir : des mots de passe par défaut qui n’ont pas été changés, un correctif qui a été négligé, ou une attaque de phishing ou de point d’eau dirigée contre le directeur informatique.

Et il existe des vulnérabilités zero day contre lesquelles il est impossible de se protéger.

C’est là que la surveillance et la notification entrent en jeu. Mais pas seulement la détection d’intrusion ou la recherche de virus standard. Rappelez-vous : les attaquants de PDV se trouvent à l’intérieur et jouent de manière trop furtive pour les techniques de détection conventionnelles.

Mon conseil se résume en cinq mots : analyse du comportement des utilisateurs (User Behavior Analytics, UBA).

En tant que personne chargée de la sécurité informatique dans l’industrie hôtelière, vous ne pourrez pas détecter ces intrus sans prendre en compte les activités des utilisateurs et du système concernant les fichiers.

Bien qu’ils puissent ressembler à des utilisateurs ordinaires, les attaquants dévoileront leur jeu en accédant à des fichiers de configuration du système, en copiant ou en déplaçant un grand nombre de fichiers, ou en chiffrant des données de carte de crédit, autant d’activités atypiques pour un utilisateur normal.

C’est là où l’UBA entre en scène. Elle analyse le comportement moyen ou normal des utilisateurs réels indépendamment de leurs informations d’identification et informe le groupe de sécurité lorsque des écarts se produisent.

Bien que vous ne puissiez pas prévenir une intrusion dans un système de PDV d’hôtel, grâce à l’UBA, vous pourrez détecter les activités des attaquants bien en amont dans la chaîne de destruction et dans l’idéal empêcher l’extraction des données de cartes de crédit.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

varonis-ajoute-la-découverte-des-secrets-pour-les-dépôts-de-données-sur-site-et-dans-le-cloud
Varonis ajoute la découverte des secrets pour les dépôts de données sur site et dans le cloud
Varonis peut vous aider à analyser vos environnements à la recherche de secrets mal stockés et exposés dans des fichiers et du code stockés sur site et dans le cloud.
comment-se-préparer-à-un-audit-des-autorisations-de-salesforce ?
Comment se préparer à un audit des autorisations de Salesforce ?
Dans cet article, je vais vous indiquer en quoi consiste un audit Salesforce, vous expliquer comment fonctionnent les autorisations et vous donner des conseils pour vous préparer.
branchement-et-fusion-dans-git :-le-guide-étape-par-étape
Branchement et fusion dans Git : le guide étape par étape
Dans les articles précédents, vous avez appris « Comment annuler une validation dans Git » (un tutoriel PowerShell Git) et à « Maîtriser la fusion dans Git : tutoriel sur les référentiels Git locaux et distants ». Vous pouvez...
les-shadow-brokers-continuent-d’exploiter-le-filon-de-la-nsa-et-publient-unitedrake
Les Shadow Brokers continuent d’exploiter le filon de la NSA et publient UNITEDRAKE
Vous cherchez des bonnes nouvelles sur la sécurité des données, suite à la fuite de données dévastatrice d’Equifax ? Vous ne les trouverez pas dans ce billet, mais si vous voulez...