Nel corso del 2017 e del 2018, gli esperti di Kaspersky Lab sono stati coinvolti in alcune operazioni di incident response in seguito ad una serie di cyber-furti che hanno preso di mira organizzazioni finanziarie nell'Europa orientale. I ricercatori hanno scoperto che in tutti i casi la rete aziendale era stata violata attraverso dispositivi sconosciuti, controllati dagli attaccanti, che erano stati introdotti in modo furtivo negli edifici delle organizzazioni e connessi alla rete. Ad oggi, sono state almeno otto le banche nella regione attaccate in questo modo, con perdite stimate in decine di milioni di dollari.
I cybercriminali hanno utilizzato tre diversi tipi di dispositivi: un laptop, un Raspberry Pi (un computer single-board delle dimensioni di una carta di credito) e un Bash Bunny (uno strumento appositamente progettato per automatizzare e condurre attacchi via USB), dotati di un modem GPRS, 3G- o LTE, che permetteva ai cybercriminali di penetrare da remoto nella rete aziendale delle organizzazioni finanziarie.
Una volta stabilita la connessione, i criminali informatici tentavano di accedere ai web server per rubare i dati necessari ad eseguire un protocollo di rete di tipo RDP (Remote Desktop Protocol, che permette la connessione da remoto) su un computer selezionato e, quindi, impossessarsi di fondi o dati. Questo metodo di attacco “fileless” includeva l'uso di toolkit per l’esecuzione da remoto, Impacket, winexesvc.exe o psexec.exe. Nella fase finale, gli attaccanti hanno utilizzato un software di controllo da remoto per mantenere l'accesso al computer infetto.
“Nell'ultimo anno e mezzo, abbiamo osservato un tipo completamente nuovo di attacchi alle banche, piuttosto sofisticati e complessi, soprattutto dal punto di vista della detection. Il punto di ingresso alle reti aziendali è rimasto sconosciuto per molto tempo, dal momento che avrebbe potuto trovarsi in qualsiasi ufficio e in qualsiasi regione. Questi dispositivi sconosciuti, introdotti clandestinamente e nascosti dagli intrusi, non possono essere rilevati da remoto. Inoltre, gli autori delle minacce hanno utilizzato dei sistemi legittimi, il che ha complicato ulteriormente il lavoro di incident response”, ha commentato Sergey Golovanov, security expert del Global Research and Analysis Team di Kaspersky Lab.
Per proteggersi da questo approccio insolito ai furti digitali, Kaspersky Lab consiglia alle istituzioni finanziarie di:
• Prestare particolare attenzione al monitoraggio dei dispositivi connessi e all'accesso alle reti aziendali utilizzando, ad esempio, una soluzione come Kaspersky Endpoint Security for business.
• Eliminare completamente le possibili falle di sicurezza, comprese quelle che comportano configurazioni di rete improprie. Per questo tipo di operazioni, il servizio Kaspersky Penetration Testing può rivelarsi una soluzione conveniente ed estremamente efficace, in quanto in grado di fornire non solo dati sulle vulnerabilità rilevate, ma anche consulenza alle organizzazioni su come risolverle, rafforzando ulteriormente la sicurezza aziendale.
• Utilizzare una soluzione specializzata contro le minacce avanzate, in grado di rilevare tutti i tipi di anomalie e analizzare le attività sospette all’interno di una rete ad un livello più profondo, per rivelare, riconoscere e scoprire possibili attacchi complessi - una soluzione come Kaspersky Anti Targeted Attack Platform.
La versione completa del report di Kaspersky Lab è disponibile in un blogpost dedicato su Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che opera nel mercato da oltre 20 anni. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi di nuova generazione per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/kasperskylabitalia
