In 2017 si 2018, expertii Kaspersky Lab au participat la pregatirea raspunsului imediat in urma unei serii de jafuri cibernetice care au vizat organizatii financiare din Europa de Est. Cercetatorii au descoperit ca, in fiecare caz, se patrunsese in reteaua companiei prin intermediul unui dispozitiv necunoscut, controlat de atacatori, introdus pe ascuns intr-o cladire a companiei si conectat la retea. Pana in prezent, cel putin opt banci din regiune au fost atacate astfel, pierderile estimate fiind de ordinul zecilor de milioane de dolari.
Atacatorii au folosit trei tipuri de dispozitive: un laptop, un Raspberry PI (un computer miniatural, de dimensiunea unui card de credit) sau un Bash Bunny (un instrument creat special pentru derularea de atacuri prin USB), echipat cu un modem GPRS, 3G- sau LTE. Acestea le-au permis atacatorilor sa patrunda de la distanta in reteaua organizatiei financiare.
Odata ce era stabilita conexiunea, infractorii cibernetici incercau sa obtina acces pe serverele web pentru a fura datele de care aveau nevoie ca sa ruleze un RDP (protocol de acces remote) si apoi sa obtina bani sau date. Aceasta metoda de atac fara urme („fileless”) includea folosirea Impacket, winexesvc.exe sau psexec.exe pentru acces de la distanta. In etapa finala, atacatorii foloseau soft-ul de control de la distanta pentru a mentine accesul la computerul infectat.
„Pe parcursul ultimului an si jumatate, am observat un tip complet nou de atac asupra bancilor, foarte complex, in materie de detectie”, spune Sergey Golovanov, security expert la Kaspersky Lab. „Punctul de intrare in reteaua companiei a ramas necunoscut multa vreme, din moment ce putea fi localizat in orice birou, din orice regiune. Aceste dispozitive necunoscute, introduse pe ascuns, nu au putut fi gasite de la distanta. In plus, atacatorul a folosit instrumente legitime, ceea ce a complicat si mai mult raspunsul la incident.”
Pentru a se proteja impotriva acestei metode inedite de jaf digital, recomandam institutiilor financiare:
- Acordati o atentie deosebita monitorizarii dispozitivelor conectate si accesarii retelei organizatiei – folosind o solutie cum este Kaspersky Endpoint Security for business.
- Eliminati punctele vulnerabile de securitate, inclusiv cele care se refera la configurari gresite de retea, cu un serviciu de genul Kaspersky Penetration Testing service, care face inclusiv recomandari despre cum pot fi rezolvate problemele detectate.
- Folositi o solutie specializata impotriva amenintarilor complexe, care poate detecta toate tipurile de anomalii si activitati suspecte din retea, similara platformei Kaspersky Anti Targeted Attack.
Versiunea completa a raportului este disponibila pe Securelist.com.