Безпрецедентни кибер обири

Автор: Богдан Бишок/Дата на публикуване: 12.12.2018 16:12

кибер

Експертите на „Лаборатория Касперски“ участваха през 2017 г. и 2018 г. в подготовката на отговора веднага след поредица от кибер грабежи, насочени към финансови организации в Източна Европа. Разследващите установиха, че във всеки случай той е проникнал в мрежата на компанията чрез неизвестно устройство, контролирано от нападатели, тайно въведено в сграда на компанията и свързано към мрежата. Към днешна дата поне осем банки в региона са били атакувани по този начин, като загубите се изчисляват на десетки милиони долари.

Нападателите са използвали три вида устройства: лаптоп, Raspberry PI (миниатюрен компютър, с размер на кредитна карта) или Bash Bunny (инструмент, създаден специално за USB атаки), оборудвани с GPRS модем, 3G - или LTE. Те позволиха на нападателите да проникнат дистанционно в мрежата на финансовата организация.

След като връзката беше установена, киберпрестъпниците се опитаха да получат достъп до уеб сървъри, за да откраднат данните, необходими им за стартиране на RDP (протокол за отдалечен достъп) и след това да получат пари или данни. Този метод на безфайлова атака включва използването на Impacket, winexesvc.exe или psexec.exe за отдалечен достъп. В последния етап нападателите използваха софтуер за дистанционно управление, за да поддържат достъп до заразения компютър.

„През последната година и половина видяхме съвсем нов тип атака срещу банки, много сложна от гледна точка на откриване“, казва Сергей Голованов, експерт по сигурността в Лабораторията на Касперски. „Точката на влизане в мрежата на компанията остава неизвестна от дълго време, тъй като тя може да бъде разположена във всеки офис, във всеки регион. Тези неизвестни устройства, тайно въведени, не могат да бъдат намерени дистанционно. Освен това нападателят използва легитимни инструменти, които допълнително усложняват реакцията на инцидента. "

За да се предпазим от този уникален метод за дигитален грабеж, препоръчваме на финансови институции:
• Обърнете специално внимание на наблюдението на свързаните устройства и достъпа до мрежата на вашата организация - използвайки решение като Kaspersky Endpoint Security за бизнеса.
• Елиминирайте уязвимостите в сигурността, включително тези, свързани с неправилни конфигурации на мрежата, с услуга като услугата за тестване на проникване на Kaspersky, която също дава препоръки как да разрешите откритите проблеми.

• Използвайте специализирано решение срещу сложни заплахи, което може да открие всички видове аномалии и подозрителни дейности в мрежата, подобно на платформата Kaspersky Anti Target Attack.