A settembre 2017 i ricercatori di Kaspersky Lab hanno rilevato una nuova serie di attacchi mirati ad almeno 10 organizzazioni finanziarie in diversi Stati tra cui Russia, Armenia e Malesia. Gli attacchi sono stati eseguiti da un nuovo gruppo chiamato Silence che, oltre a rubare i fondi di denaro alle proprie vittime, implementa contemporaneamente tecniche specifiche simili al famigerato gruppo criminale conosciuto come Carbanak. Gli attacchi sono ancora in corso.
Silence si unisce alla lista delle più devastanti e complesse operazioni di cyber rapina, come Metel, GCMAN e Carbanak, in grado di sottrarre alle organizzazioni finanziarie milioni di dollari. La maggior parte di queste operazioni sono state effettuate utilizzando una specifica tecnica: dopo aver acquisito un accesso stabile alle reti bancarie interne per un lungo periodo, i criminali ne hanno monitorato l'attività quotidiana esaminando separatamente i dettagli di ciascuna rete bancaria e, quando hanno ritenuto che fosse il momento giusto, hanno sfruttato le conoscenze acquisite per rubare più denaro possibile.
Questo è il caso di Silence Trojan, che compromette l'infrastruttura della vittima utilizzando email di spear phishing.
Gli allegati nocivi all’interno delle email sono molto sofisticati. Una volta che la vittima li apre, basta un clic per avviare una serie di download e eseguire il dropper. Questo programma comunica con il server di comando e controllo, invia l'ID della macchina infetta, effettua il download ed esegue payload dannosi responsabili di varie attività come la registrazione dello schermo, il caricamento dei dati, il furto delle credenziali, il controllo da remoto e molto altro.
Un dato molto interessante di questi attacchi è che i criminali sfruttano l'infrastruttura delle istituzioni finanziarie già infette per effettuare nuovi attacchi. Inviano messaggi di posta elettronica che risultano arrivare da impiegati reali con una richiesta di apertura di un conto bancario diretti a nuove vittime. Utilizzando questo trucco, i criminali sono certi di non destare sospetti rispetto al vettore di infezione.
Una volta ottenuto l’accesso all’interno della rete i criminali cominciano ad esaminarla. Il gruppo criminale Silence è in grado di monitorare le attività della propria vittima, effettuare diversi screenshot dello schermo, fornire video in tempo reale di tutte le attività della vittima, e molto altro. Tutte queste funzionalità hanno un solo scopo: conoscere l’attività quotidiana della vittima e ottenere informazioni utili per riuscire a sottrarre il denaro delle vittime. Questo processo e questo stile rispecchiano fortemente le tecniche di Carbanak.
Sulla base dei campioni linguistici riscontrati durante la ricerca sulle componenti nocive di questo attacco i ricercatori di sicurezza di Kaspersky Lab hanno stabilito che i criminali che si nascondono dietro agli attacchi di Silence parlano russo.
"Il Silence Trojan è un nuovo esempio di cybercriminali che spostano la propria attenzione e i propri attacchi dagli utenti finali alle banche. Si tratta di una tendenza in crescita, e saranno sempre di più le cyber rapine professionali e specializzate in stile APT che emergeranno e avranno successo. La cosa più preoccupante è che, a causa del loro modo di agire nell’ombra, questi attacchi possono avere successo a prescindere dalle peculiarità dell'architettura di sicurezza di ciascuna banca", ha dichiarato Sergey Lozhkin, security expert at Kaspersky Lab.
Per proteggersi da possibili attacchi informatici, i ricercatori di Kaspersky Lab consigliano alle organizzazioni di adottare le seguenti misure:
• Utilizzare una soluzione specializzata contro le minacce avanzate, come Kaspersky Anti Targeted Attack Platform, in grado di rilevare tutti i tipi di anomalie e di esaminare i file sospetti ad un livello più profondo per rivelare, riconoscere e scoprire gli attacchi complessi.
• Eliminare del tutto i “buchi” alla sicurezza, inclusi quelli che implicano configurazioni di sistema improprie o errori nelle applicazioni proprietarie. Per questo, i servizi di Kaspersky Penetration Testing and Application Security Assessment, sono una soluzione utile e efficace, in quanto forniscono non solo i dati sulle vulnerabilità rilevate, ma anche consigli su come risolvere il problema, rafforzando ulteriormente la sicurezza aziendale.
• Configurare regole rigorose per l’elaborazione delle e-mail e abilitare soluzioni di sicurezza con funzionalità dedicate a phishing, attacchi dannosi e spam. Come ad esempio quelle anti-phishing e di filtraggio degli attacchi supportate da cloud incluse all’interno di Kaspersky Endpoint Security e le soluzioni di sicurezza mirate per la protezione delle e-mail.
Su Securelist.com è possibile trovare maggiori informazioni su Silence Trojan e sugli indicatori di compromissione
Per i clienti di Kaspersky Intelligence Reporting Service è possibile avere maggiori informazioni su Silence Trojan contattando intelreports@kaspersky.com
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attività. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
.
