We wrześniu bieżącego roku badacze z Kaspersky Lab zidentyfikowali nową serię ataków wymierzonych w przynajmniej 10 organizacji finansowych w wielu regionach, łącznie z Rosją, Armenią i Malezją. Działania te były prowadzone przez nową grupę nazwaną Silence, która kradnąc pieniądze od swoich ofiar, stosuje techniki podobne do metod wykorzystywanych przez inną grupę cyberprzestępczą — Carbanak. Cybergang jest w dalszym ciągu aktywny.
Silence dołącza do grona najbardziej niszczycielskich i skomplikowanych operacji mających na celu kradzież pieniędzy, takich jak Metel, GCMAN i Carbanak, które doprowadziły do strat rzędu milionów dolarów w organizacjach finansowych. Większość z tych cybergangów stosuje następującą technikę: uzyskanie stałego i długotrwałego dostępu do wewnętrznych sieci atakowanych organizacji, monitorowanie codziennej aktywności, badanie szczegółów dotyczących atakowanych sieci i — w odpowiednim momencie — wykorzystanie tej wiedzy do kradzieży jak największej ilości pieniędzy. W taki sposób zachowuje się także grupa Silence, która dostaje się do atakowanych sieci poprzez odpowiednio przygotowane, phishingowe wiadomości e-mail.
Szkodliwe narzędzia załączone do tych e-maili należą do wyrafinowanych cyberzagrożeń. Gdy ofiara otworzy taki załącznik, natychmiast dochodzi do pobrania (z różnych źródeł) szkodliwego modułu, który łączy się z serwerem kontrolowanym przez cyberprzestępców, wysyła identyfikator zainfekowanej maszyny i aktywuje kolejne komponenty odpowiedzialne za realizowanie różnych zadań, takich jak nagrywanie zawartości ekranu, wysyłanie danych, kradzież informacji uwierzytelniających, zdalne kontrolowanie komputera itd.
Co ciekawe, przestępcy próbują wykorzystywać infrastrukturę już zainfekowanych instytucji na poczet dalszych ataków poprzez wysyłanie zainfekowanych wiadomości e-mail z prawdziwych adresów pracowników ofiary do kolejnych organizacji finansowych. Takie sfałszowane wiadomości najczęściej zawierają prośbę o założenie konta bankowego.
Gdy cyberprzestępcy „zadomowią” się w atakowanej sieci, zaczyna się proces analizy. Grupa Silence ma możliwość monitorowania aktywności ofiary, łącznie z transmitowaniem na żywo obrazu z zawartością ekranu zainfekowanych maszyn. Wszystkie te działania służą jednemu celowi: zrozumieniu mechanizmów funkcjonujących w codziennej pracy ofiary i uzyskaniu odpowiedniej ilości informacji, które docelowo pozwolą na kradzież pieniędzy. Cały proces i styl działania przypomina metody stosowane przez grupę Carbanak.
W oparciu o ślady w kodzie wykryte podczas analizy szkodliwych modułów stosowanych przez grupę Silence badacze z Kaspersky Lab ustalili, że cyberprzestępcy stojący za tymi atakami płynnie posługują się językiem rosyjskim.
– Trojan Silence to świeży przykład na to, że cyberprzestępcy coraz częściej skupiają się na bezpośrednich atakach na banki, zamiast na ich klientów. Obserwujemy rozwój tego trendu — w krajobrazie cyberprzestępczym pojawia się coraz więcej sprawnych i zaawansowanych techniczne gangów i coraz więcej ataków prowadzi do poważnych strat finansowych. Najbardziej niepokojące jest to, że podejście stosowane przez takich cyberprzestępców pozwala im ukradkowo działać przez długi czas wewnątrz infrastruktury atakowanych organizacji — powiedział Siergiej Lożkin, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
W celu zwiększenia skuteczności ochrony przed atakami cyberprzestępców badacze z Kaspersky Lab zalecają organizacjom podjęcie następujących działań:
- Zastosowanie wyspecjalizowanego rozwiązania chroniącego przed zaawansowanymi zagrożeniami, które pozwala na wykrywanie wszelkich rodzajów anomalii oraz szczegółową analizę podejrzanych plików, celem identyfikowania skomplikowanych ataków. Przykładem takiego rozwiązania jest platforma Kaspersky Anti Targeted Attack.
- Wyeliminowanie luk w zabezpieczeniach, łącznie z tymi wynikającymi z nieprawidłowej konfiguracji systemów i błędów w wyspecjalizowanych aplikacjach. Przydatne i wysoce efektywne w takich zastosowaniach są usługi takie jak Kaspersky Penetration Testing oraz Application Security Assessment, które oferują nie tylko informacje o wykrytych lukach i błędach, ale także porady, które pozwalają personelowi sprawnie załatać wszelkie niedoskonałości i umocnić bezpieczeństwo firmy.
- Zastosowanie restrykcyjnych reguł przewarzania wiadomości e-mail i aktywowanie mechanizmów bezpieczeństwa wyspecjalizowanych w wykrywaniu phishingu, szkodliwych załączników i spamu. Przykładem mogą być wspierane chmurą technologie antyphishingowe i filtrujące załączniki zastosowane w produkcie Kaspersky Endpoint Protection oraz w rozwiązaniach do ochrony serwerów poczty.