Investigadores de seguridad descubrieron actividad de criminales cibernéticos a lo largo del mundo luego de que alrededor de 1500 terminales o puntos de venta (POS) fueran infectados con malware, además fueron afectados sistemas de contabilidad y otras plataformas de venta en 36 países.

Con los sistemas infectados se creó una botnet que los investigadores de la empresa IntelCrawler han nombrado como Nemanja, se cree que los atacantes que operan dicha botnet podrían ser de Serbia.

El tamaño de la botnet, así como la distribución de los sistemas infectados, pone en perspectiva los problemas de seguridad que enfrentan los establecimientos comerciales, tal como ya se había reflejado con recientes ataques a puntos de venta de cadenas estadounidenses.

Incidentes anteriores sugieren que la atención de los ciberdelincuentes hacia los minoristas y pequeñas empresas que utilizan terminales de puntos de venta ha aumentado. Los investigadores de IntelCrawler, por medio de una publicación en un blog, comentaron lo siguiente: "Prevemos un número creciente en cuanto a violaciones a la seguridad de datos almacenados en puntos de venta de cadenas comerciales, así como a cajas registradoras, además de la aparición de código malicioso dirigido a atacar a este tipo de sistemas."

De acuerdo a datos de los investigadores, la botnet Nemanja se componía de 1478 sistemas infectados alrededor del mundo, incluyendo Estados Unidos, Reino Unido, Canadá, Australia, China, Rusia, Brasil y México.

Un análisis de Nemanja reveló que los sistemas comprometidos son variados, entre los que se encuentran sistemas de puntos de venta, sistemas para la gestión de tiendas de comestibles y software de contabilidad. Los investigadores de IntelCrawler identificaron al menos 25 programas de software diferentes en los equipos infectados. No significa que las aplicaciones identificadas son particularmente vulnerables o inseguras, pero muestra que el malware empleado por Nemanja está diseñado para trabajar con software variado.

Además de la capacidad de recopilar datos de la tarjeta de crédito, el malware también tiene la funcionalidad keylogger para interceptar las credenciales que podrían proporcionar acceso a otros sistemas y bases de datos que contengan información personal o referente a transacciones monetarias.

IntelCrawler predice que muy pronto el malware dirigido a puntos de venta incorporará módulos para acceso remoto (RAT) y realizará ataques a otros componentes como la captura de las actividades realizadas en el teclado o el husmeo del tráfico de red.

Existen otros reportes emitidos por importantes compañías en donde se muestra que el problema es creciente y que los ataques a sistemas de puntos de venta han derivado en gran cantidad de datos comprometidos, tal es el caso de Trustwave, quienes recientemente realizaron un informe donde se muestra que uno de cada tres reportes de violación a la seguridad de la información tiene relación con ataques a sistemas de puntos de venta. Por su parte Verizon emitió en abril un informe donde se muestra que los ataques a puntos de venta son la causa del 14% de casos donde se ha visto información comprometida.

Los otros países afectados por Nemanja fueron Argentina, Austria, Bangladesh, México, Bélgica, Chile, República Checa, Dinamarca, Estonia, Francia, Alemania, Hong Kong, India, Indonesia, Israel, Italia, Japón, Países Bajos, Nueva Zelanda, Polonia, Portugal, Sudáfrica, España, Suiza, Taiwán, Turquía, Uruguay, Venezuela y Zambia.