Nel corso del 2017 e del 2018, gli esperti di Kaspersky Lab sono stati coinvolti in alcune operazioni di incident response in seguito ad una serie di cyber-furti che hanno preso di mira organizzazioni finanziarie nell’Europa orientale.
I ricercatori hanno scoperto che in tutti i casi la rete aziendale era stata violata attraverso dispositivi sconosciuti, controllati dagli attaccanti, che erano stati introdotti in modo furtivo negli edifici delle organizzazioni e connessi alla rete. Ad oggi, sono state almeno otto le banche nella regione attaccate in questo modo, con perdite stimate in decine di milioni di dollari.
I cybercriminali hanno utilizzato tre diversi tipi di dispositivi: un laptop, un Raspberry Pi (un computer single-board delle dimensioni di una carta di credito) e un Bash Bunny (uno strumento appositamente progettato per automatizzare e condurre attacchi via USB), dotati di un modem GPRS, 3G- o LTE, che permetteva ai cybercriminali di penetrare da remoto nella rete aziendale delle organizzazioni finanziarie.
Una volta stabilita la connessione, i criminali informatici tentavano di accedere ai web server per rubare i dati necessari ad eseguire un protocollo di rete di tipo RDP (Remote Desktop Protocol, che permette la connessione da remoto) su un computer selezionato e, quindi, impossessarsi di fondi o dati. Questo metodo di attacco “fileless” includeva l’uso di toolkit per l’esecuzione da remoto, Impacket, winexesvc.exe o psexec.exe. Nella fase finale, gli attaccanti hanno utilizzato un software di controllo da remoto per mantenere l’accesso al computer infetto.
“Nell’ultimo anno e mezzo, abbiamo osservato un tipo completamente nuovo di attacchi alle banche, piuttosto sofisticati e complessi, soprattutto dal punto di vista della detection. Il punto di ingresso alle reti aziendali è rimasto sconosciuto per molto tempo, dal momento che avrebbe potuto trovarsi in qualsiasi ufficio e in qualsiasi regione. Questi dispositivi sconosciuti, introdotti clandestinamente e nascosti dagli intrusi, non possono essere rilevati da remoto. Inoltre, gli autori delle minacce hanno utilizzato dei sistemi legittimi, il che ha complicato ulteriormente il lavoro di incident response”, ha commentato Sergey Golovanov, security expert del Global Research and Analysis Team di Kaspersky Lab.
