Банки Восточной Европы в 2017-18 гг. подвергались атакам DarkVishnya
Киберпреступники "подбрасывали" свое устройство в здание организации и физически подключались к корпоративной сети компании. Злоумышленники использовали три вида устройств - недорогой ноутбук, одноплатный компьютер и специально разработанный инструмент для автоматизации и проведения USB-атак - Bash Bunny. Эти устройство могли быть дополнительно оснащены GPRS-, 3G- или LTE-модемом для удаленного проникновения в корпоративную сеть.
В ходе атак киберпреступники пытались получить доступ к общим сетевым папкам, веб-серверам и т.д. Украденные данные использовались для подключения к серверам и рабочим станциям, предназначенным для осуществления платежей или содержащим другую полезную для злоумышленников информацию. После успешного закрепления в инфраструктуре финансовой организации преступники использовали легитимное ПО для удаленного управления. Поскольку киберперступники применяли бесфайловые методы и PowerShell, они обходили белые списки и доменные политики. Также среди инструментов злоумышленников - Impacket, а также winexesvc.exe или psexec.exe для дистанционного запуска исполняемых файлов. Далее денежные средства выводились, например, через банкоматы.
Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов отметил, что точка входа в корпоративную сеть в операциях DarkVishnya долгое время оставалась неизвестной, поскольку могла находиться в любом из офисов. Кроме того, поиск усложнялся тем, что использовались стандартные утилиты.
"Чтобы защититься от этой необычной схемы цифровых ограблений, мы советуем финансовым организациям крайне ответственно подходить к кибербезопасности, в частности уделять особое внимание контролю подключаемых устройств и доступа в корпоративную сеть", - резюмировал эксперт.
По материалам PLUSworld.ru, Лаборатория Касперского