Банки, ЕС – СНГ , Интернет, Криминал, Рынки и компании, Технологии, Финансы
Балтийский курс. Новости и аналитика
Пятница, 26.04.2024, 00:24
Как незаметно украсть данные 140 организаций
Kaspersky Lab выяснила, что для проникновения в
корпоративные сети по меньшей мере 140 организаций неизвестные злоумышленники
использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в
памяти системы, не оставляя никаких следов на жестких дисках. Чаще всего
атакующие применяют специализированное ПО для тестирования на проникновение,
инструменты администрирования и утилиты для автоматизации задач в Windows, например, PowerShell.
На след новой
неизвестной кибергруппировки эксперты Kaspersky Lab вышли в
конце 2016 года, когда один из банков в СНГ обратился в компанию с просьбой
расследовать подозрительную активность в своей сети. В памяти сервера банка
было обнаружено ПО для тестирования на проникновение Meterpreter, которое в
настоящее время часто используется во вредоносных целях. Как выяснили
аналитики Kaspersky Lab, код Meterpreter был загружен PowerShell
скриптами из реестра операционной системы напрямую в память. Именно это
позволило программе оставаться незамеченной и свободно собирать пароли системных
администраторов. Конечной целью злоумышленников, скорее всего, было получение
доступа к финансовым процессам банка.
Расследование
инцидента позволило экспертам Kaspersky Lab установить, что
подобные атаки осуществлялись по всему миру, и группировка до сих пор остается
активной. «Упаковка» вредоносного кода в легитимные утилиты позволяет атакующим
избегать детектирования методом «белых списков» (когда в системе можно
запускать только официальные программы проверенных производителей), а
присутствие лишь в памяти системы оставляет исследователей без каких-либо
доказательств и артефактов, на основе которых можно провести
расследование.
«Стремление
атакующих сделать свою активность максимально незаметной и избежать
детектирования – проявление последней тенденции в развитии киберугроз.
Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а
также не замечаемые традиционными средствами защиты техники. Вот почему
исследование системной памяти становится критически важным», – поясняет Сергей
Голованов, ведущий антивирусный эксперт Kaspersky Lab.
Детали этого
расследования будут представлены Kaspersky Lab на международной конференции по кибербезопасности Security Analyst Summit, которая пройдет на острове Сен-Мартен со 2 по 6
апреля. Эксперты компании Сергей Голованов и Игорь Суменков расскажут
о том, какие уникальные тактики помогли злоумышленникам получить доступ к
деньгам атакованных организаций и обналичить их в банкоматах.