W zeszłym roku Europol oraz Departament Sprawiedliwości USA doprowadzili do zaaresztowania cyberprzestępców podejrzewanych o kierowanie ugrupowaniami cyberprzestępczymi FIN7 i Carbanak. Według doniesień medialnych cybergangi te zaprzestały swojej działalności, a mimo to nasi eksperci nadal wykrywają oznaki jej istnienia. Co więcej, liczba wzajemnie powiązanych grup wykorzystujących podobne zestawy narzędzi oraz tę samą infrastrukturę wzrasta. Oto lista najważniejszych instrumentów i sztuczek oraz porady, jak zabezpieczyć przed nimi firmę.
FIN7
Ugrupowanie FIN7 specjalizuje się w atakowaniu firm w celu uzyskania dostępu do danych finansowych lub infrastruktury PoS. Swoje działanie opiera na kampaniach z użyciem phishingu ukierunkowanego z wyrafinowaną socjotechniką. Na przykład zanim wyślą szkodliwe dokumenty, potrafią wymienić z ofiarami wiele zwykłych wiadomości, aby uśpić ich czujność.
W atakach wykorzystywane są przeważnie szkodliwe dokumenty zawierające makra, których zadaniem jest instalacja na komputerze ofiary szkodliwego programu i takie zaplanowanie zadań, aby pozostały jak najdłużej niewykryte. Następnie komputer otrzymuje moduły i instaluje je w pamięci systemu. W szczególności zidentyfikowaliśmy moduły służące do gromadzenia informacji, pobierania dodatkowego szkodliwego oprogramowania, wykonywania zrzutów ekranu i przechowywania kolejnej instancji tego samego szkodliwego programu w rejestrze (na wypadek, gdy pierwsza zostałaby wykryta). Naturalnie cyberprzestępcy mogą tworzyć dodatkowe moduły w dowolnym momencie.
Ugrupowanie CobaltGoblin/Carbanak/EmpireMonkey
Inni cyberprzestępcy używają podobnych narzędzi i technik, a różnili się tylko w doborze ofiar — w tym przypadku za cel obierali banki i producentów oprogramowania do bankowości oraz służącego do przeprowadzania transakcji finansowych. Główną strategią ugrupowania Carbanak (zwanego też CobaltGoblin lub EmpireMonkey) jest przedostanie się do sieci ofiar, a następnie zidentyfikowanie punktów końcowych, na których znajdują się możliwe do sprzedania informacje.
Botnet AveMaria
AveMaria to nowy botnet używany do kradzieży informacji. Po zainfekowaniu komputera rozpoczyna gromadzenie wszelkich danych logowania z różnego oprogramowania: przeglądarek, klientów poczty e-mail, komunikatorów itp. Ponadto działa jak keylogger.
Aby dostarczyć ładunek, oszuści uciekają się do phishingu ukierunkowanego, socjotechniki i szkodliwych załączników. Nasi eksperci podejrzewają, że mają oni powiązania z ugrupowaniem Fin7 — z uwagi na podobieństwa w stosowanych metodach i infrastrukturze kontroli (C&C). Kolejną oznaką powiązań jest ukierunkowanie dystrybucji: 30% celów stanowiły małe i średnie firmy, które działają jak dostawcy, np. usług, dla większych firm, a 21% to różnego rodzaju przedsiębiorstwa produkcyjne.
CopyPaste
Nasi eksperci odkryli zestaw aktywności o nazwie kodowej CopyPaste, które atakowały podmioty finansowe w krajach Afryki. Część wykorzystywanych przez nich metod i narzędzi przypominała te, które stosuje Fin7. Możliwe, że cyberprzestępcy ci użyli publikacji z otwartym kodem źródłowym i w rzeczywistości nie mają nic wspólnego z FIN7.
Szczegóły techniczne, w tym oznaki włamania, są dostępne w naszym serwisie Securelist.com.
Jak zapewnić sobie bezpieczeństwo
- Używaj rozwiązań zabezpieczających zawierających specjalne funkcje, przygotowanych z myślą o wykrywaniu i blokowaniu ataków phishingowych. Firmy mogą chronić lokalnie swoje systemy poczty e-mail przy pomocy specjalistycznych aplikacji wchodzących w skład pakietu Kaspersky Endpoint Security for Business.
- Wprowadź szkolenia zwiększające świadomość w zakresie cyberbezpieczeństwa oraz ćwicz umiejętności praktyczne. Takie usługi jak Kaspersky Security Awareness mogą pomóc w poprawieniu umiejętności i przeprowadzeniu symulowanych ataków phishingowych.
- Wszystkie wspomniane wyżej grupy w dużym stopniu korzystają z niezałatanych systemów w środowiskach firmowych. Aby ograniczyć im możliwości, używaj niezawodnej strategii łatania oraz produktu zabezpieczającego, np. Kaspersky Endpoint Security for Business, który może automatycznie łatać krytyczne oprogramowanie.