Las consecuencias de la violación de datos de Wawa 2019: los datos privados de millones se venden en la web oscura

La semana pasada, investigadores de la firma de inteligencia de amenazas Gemini Advisory notaron que había una nueva oferta en Joker's Stash, uno de los mercados más populares de Dark Web para detalles de tarjetas de crédito robadas. Fue publicado por el moderador del sitio (siguiendo el apodo bastante poco imaginativo de JokerStash), y se llamó BIGBADABOOM-III. Los investigadores de Gemini decidieron analizar más de cerca lo que los ciberdelincuentes tenían para ofrecer.

El 27 de enero, JokerStash cargó las primeras cuatro bases de datos. El anuncio indica que toda la colección consta de más de 30 millones de registros, pero el lote de la semana pasada contiene solo 100 mil. Los investigadores encontraron una gran cantidad de datos de geolocalización falsificados dentro de las bases de datos, pero también vieron mucha información real, y no les llevó mucho tiempo darse cuenta de dónde provenía.

Los cibercriminales están tratando de monetizar la violación de datos de Wawa en diciembre

En diciembre, la cadena de tiendas de conveniencia y gasolineras Wawa anunció que su sistema de pago había sido infectado con malware de punto de venta (PoS). El descubrimiento se realizó el 10 de diciembre y, en 48 horas, se eliminó el malware. Sin embargo, una investigación adicional reveló que el compromiso inicial ocurrió nueve meses antes, el 4 de marzo.

En ese momento, Chris Gheysens, CEO de Wawa, no estaba completamente seguro de cuál era el alcance de la violación, pero sí notó que entre la infección inicial y el 22 de abril, el malware logró comprometer los sistemas de pago en "la mayoría" de Wawa ubicaciones. Aparentemente, la intensidad del ataque disminuyó después de eso, pero el aviso de violación de datos implicaba que el malware continuó activo en algunas tiendas hasta que estuvo completamente contenido el 12 de diciembre.

El nombre exacto del malware sigue siendo desconocido por ahora, pero sabemos que actuó más o menos como cualquier otra amenaza de este tipo. Una vez que el sistema de pago de una tienda está infectado, el malware está diseñado para copiar todos los datos que se almacenan en las bandas magnéticas de las tarjetas de crédito y débito cuando se deslizan en terminales PoS. Estos datos incluyen el número de la tarjeta, el nombre del titular de la tarjeta y la fecha de vencimiento. Como Chris Gheysens señaló en el aviso, el malware PoS no puede robar códigos PIN y CVV.

Si lo que dice JokerStash es cierto, el ataque a Wawa resultó en el compromiso de 30 millones de cartas, lo que significaría que esta es una de las mayores infracciones de este tipo en la historia. Combine eso con el hecho de que, según Gemini, el precio medio de las tarjetas emitidas en los EE. UU. Ronda los $ 17 por pop, mientras que los registros no estadounidenses se venden al por menor por alrededor de $ 210, y verá cuánto dinero pueden ganar los piratas informáticos, al menos En teoria.

Desde la perspectiva de los ladrones, todo suena demasiado bueno para ser verdad.

Los expertos de Gemini señalaron en su informe que JokerStash está feliz de que sepamos de dónde provienen los datos. Aparentemente, el administrador del mercado a menudo trata de aumentar su credibilidad ofreciendo tarjetas de crédito robadas durante las infracciones que ya se han hecho públicas. Sin embargo, esto también podría ser una buena noticia para aquellos que comprometieron sus tarjetas bancarias.

El hecho de que la violación ya haya sido noticia significa que es más probable que las personas hayan tomado algunas medidas para protegerse. Cuando Wawa habló sobre el incidente por primera vez, por ejemplo, ofreció servicios gratuitos de robo de identidad y monitoreo de crédito durante un año a todos los involucrados, y estamos seguros de que al menos algunas de las víctimas se han aprovechado de esto. La cadena de estaciones de servicio también prometió trabajar con personas que han visto pagos fraudulentos en sus tarjetas de crédito debido a la violación pero que no han recibido reembolsos.

En otras palabras, las víctimas de la violación de Wawa deberían estar mejor preparadas para enfrentar los riesgos, y esto significa que el volcado de datos que JokerStash está tratando de impulsar no es tan atractivo como parece al principio.