Kaspersky Lab indaga su DarkVishnya

Nel corso del 2017 e del 2018, gli esperti di Kaspersky Lab sono stati coinvolti in alcune operazioni di incident response in seguito ad una serie di cyber-furti che hanno preso di mira organizzazioni finanziarie nell'Europa orientale. I ricercatori hanno scoperto che in tutti i casi la rete aziendale era stata violata attraverso dispositivi sconosciuti, controllati dagli attaccanti, che erano stati introdotti in modo furtivo negli edifici delle organizzazioni e connessi alla rete. Ad oggi, sono state almeno otto le banche nella regione attaccate in questo modo, con perdite stimate in decine di milioni di dollari.

I cybercriminali hanno utilizzato tre diversi tipi di dispositivi: un laptop, un Raspberry Pi (un computer single-board delle dimensioni di una carta di credito) e un Bash Bunny (uno strumento appositamente progettato per automatizzare e condurre attacchi via USB), dotati di un modem GPRS, 3G- o LTE, che permetteva ai cybercriminali di penetrare da remoto nella rete aziendale delle organizzazioni finanziarie.

Una volta stabilita la connessione, i criminali informatici tentavano di accedere ai web server per rubare i dati necessari ad eseguire un protocollo di rete di tipo RDP (Remote Desktop Protocol, che permette la connessione da remoto) su un computer selezionato e, quindi, impossessarsi di fondi o dati. Questo metodo di attacco “fileless” includeva l'uso di toolkit per l’esecuzione da remoto, Impacket, winexesvc.exe o psexec.exe. Nella fase finale, gli attaccanti hanno utilizzato un software di controllo da remoto per mantenere l'accesso al computer infetto.

“Nell'ultimo anno e mezzo, abbiamo osservato un tipo completamente nuovo di attacchi alle banche, piuttosto sofisticati e complessi, soprattutto dal punto di vista della detection. Il punto di ingresso alle reti aziendali è rimasto sconosciuto per molto tempo, dal momento che avrebbe potuto trovarsi in qualsiasi ufficio e in qualsiasi regione. Questi dispositivi sconosciuti, introdotti clandestinamente e nascosti dagli intrusi, non possono essere rilevati da remoto. Inoltre, gli autori delle minacce hanno utilizzato dei sistemi legittimi, il che ha complicato ulteriormente il lavoro di incident response”, ha commentato Sergey Golovanov, security expert del Global Research and Analysis Team di Kaspersky Lab.

Per proteggersi da questo approccio insolito ai furti digitali, Kaspersky Lab consiglia alle istituzioni finanziarie di: prestare particolare attenzione al monitoraggio dei dispositivi connessi e all'accesso alle reti aziendali utilizzando, ad esempio, una soluzione come Kaspersky Endpoint Security for Business; eliminare completamente le possibili falle di sicurezza, comprese quelle che comportano configurazioni di rete improprie (per questo tipo di operazioni, il servizio Kaspersky Penetration Testing può rivelarsi una soluzione conveniente ed estremamente efficace, in quanto in grado di fornire non solo dati sulle vulnerabilità rilevate, ma anche consulenza alle organizzazioni su come risolverle, rafforzando ulteriormente la sicurezza aziendale); infine, consiglia di utilizzare una soluzione specializzata contro le minacce avanzate, in grado di rilevare tutti i tipi di anomalie e analizzare le attività sospette all’interno di una rete ad un livello più profondo, per rivelare, riconoscere e scoprire possibili attacchi complessi - una soluzione come Kaspersky Anti Targeted Attack Platform.