DarkVishnya - bezprecedensowe cyberataki finansowe w Europie Wschodniej
Cyberprzestępcy wykorzystywali trzy rodzaje urządzeń: laptop, Raspberry Pi (komputer o rozmiarze karty kredytowej) lub Bash Bunny (specjalnie zaprojektowane narzędzie do automatyzacji i przeprowadzania ataków poprzez port USB). Wszystkie te urządzenia były wyposażone w modem GPRS, 3G lub LTE, który umożliwiał atakującym zdalne przeniknięcie do sieci korporacyjnej atakowanej organizacji finansowej.
Po ustanowieniu połączenia cyberprzestępcy próbowali uzyskać dostęp do serwerów WWW w celu kradzieży danych, których potrzebowali do uruchomienia protokołu pozwalającego na uzyskanie zdalnego dostępu (Remote Desktop Protocol, RDP) na wybranym komputerze, a następnie przechwycenia środków pieniężnych lub danych. Na końcowym etapie atakujący stosowali oprogramowanie zdalnej administracji w celu utrzymania dostępu do zainfekowanego komputera działającego w sieci atakowanej organizacji finansowej.
Przez ostatnie półtora roku obserwowaliśmy całkowicie nowy rodzaj ataków na banki, dość wyrafinowany i złożony pod względem wykrywania. Punkt wejścia do sieci korporacyjnej pozostawał przez długi czas nieznany, ponieważ mógł być zlokalizowany w dowolnym biurze w dowolnym regionie. Nie zdołaliśmy znaleźć zdalnie tych nieznanych urządzeń, które zostały przemycone i ukryte przez intruzów. Dodatkowo, atakujący wykorzystywali legalne narzędzia, które jeszcze bardziej komplikowały reagowanie na incydent - powiedział Siergiej Golowanow, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
W celu zapewnienia sobie ochrony przed tą nietypową metodą cyberataków instytucje finansowe powinny podjąć następujące działania:
- Zadbaj o monitorowanie urządzeń połączonych z internetem i zwróć uwagę na dostęp do sieci korporacyjnej, stosując rozwiązanie takie jak Kaspersky Endpoint Security for Business.
- Wyeliminuj luki w zabezpieczeniach, w tym te dotyczące niewłaściwej konfiguracji sieci.
- Korzystaj z wyspecjalizowanego rozwiązania do ochrony przed zaawansowanymi cyberzagrożeniami, które potrafi wykrywać wszystkie rodzaje anomalii i badać podejrzaną aktywność w sieci na głębszym poziomie w celu zidentyfikowania, rozpoznania i zdemaskowania złożonych ataków. Przykładem takiego rozwiązania jest Kaspersky Anti Targeted Attack Platform.