В 2017-2018 годах эксперты "Лаборатории Касперского" были привлечены к расследованию нескольких киберограблений банков, в ходе которых вредоносное ПО проникало в корпоративную сеть с неизвестного устройства, в буквальном смысле подброшенного злоумышленниками. Впоследствии подобный вид атак получил название DarkVishnya. На сегодняшний день известно по крайней мере о восьми банках в Восточной Европе, которые были ограблены таким образом, а примерный ущерб от произошедших инцидентов составил несколько десятков миллионов долларов. В каждом зафиксированном случае, чтобы начать атаку, киберпреступники "подбрасывали" своё устройство в здание организации и физически подключали к корпоративной сети компании. По данным специалистов "Лаборатории Касперского", злоумышленники использовали три вида гаджетов: ноутбук (как правило, недорогой нетбук), Raspberry Pi (одноплатный компьютер размером с кредитную карту) и Bash Bunny (специально разработанный инструмент для автоматизации и проведения USB-атак). Эти устройства могли быть также дополнительно оснащены GPRS-, 3G- или LTE-модемом, чтобы обеспечивать удалённое проникновение в корпоративную сеть организации. В ходе атак киберпреступники пытались получить доступ к общим сетевым папкам, веб-серверам и так далее. Украденные данные они использовали для подключения к серверам и рабочим станциям, предназначенным для осуществления платежей или содержащим другую полезную для злоумышленников информацию. После успешного закрепления в инфраструктуре финансового учреждения злоумышленники использовали легитимное ПО для удалённого управления. Поскольку киберпреступники применяли бесфайловые методы и PowerShell, они обходили белые списки и доменные политики. Другие инструменты, используемые злоумышленниками, – это Impacket, а также winexesvc.exe или psexec.exe для дистанционного запуска исполняемых файлов. Далее денежные средства выводились, например, через банкоматы. "В последние полтора года мы наблюдали принципиально новый вид атак на банки – достаточно изощрённый и сложный в плане обнаружения киберпреступников. Как правило, точка входа в корпоративную сеть в операциях DarkVishnya долгое время оставалась неизвестной, поскольку она могла находиться в любом из офисов, расположенных в разных регионах и даже странах. А неизвестное устройство, подброшенное и спрятанное злоумышленниками, никак нельзя было найти удалённо. Поиск усложнялся тем, что в ходе атак использовались стандартные утилиты, – рассказал Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского". – Чтобы защититься от этой необычной схемы цифровых ограблений, мы советуем финансовым организациям крайне ответственно подходить к кибербезопасности, в частности уделять особое внимание контролю подключаемых устройств и доступа в корпоративную сеть". Для обеспечения кибербезопасности "Лаборатория Касперского" рекомендует финансовым организациям использовать защитные решения с системой контроля доступа в сеть (Network Access Control) и функцией контроля устройств (Device Control) – например, Kaspersky Endpoint Security для бизнеса. *** За дополнительной информацией и комментариями, пожалуйста, обращайтесь в пресс-службу "Лаборатории Касперского" по адресу empr@kaspersky.com или по телефону +7 495 797 8700. Подписывайтесь на официальный канал пресс-службы в Telegram @KasperskyLab4media и следите за нашими новостями в социальных сетях и на официальных ресурсах: