Банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе и в России, стали жертвами «незаметных» целевых кибератак, говорится в сообщении «Лаборатории Касперского». Целью кибератак является хищение денежных средств.
Банки, телекоммуникационные компании и правительственные учреждения в 40 странах мира, в том числе и в России, стали жертвами «незаметных» целевых атак, организаторы которых по своей тактике напоминают нашумевшие кибергруппировки Carbanak и GCMAN.
«Лаборатория Касперского» выяснила, что для проникновения в корпоративные сети по меньшей мере 140 организаций неизвестные злоумышленники использовали исключительно легитимное ПО, а любые вредоносные файлы хранили в памяти системы, не оставляя никаких следов на жестких дисках. Чаще всего атакующие применяют специализированное ПО для тестирования на проникновение, инструменты администрирования и утилиты для автоматизации задач в Windows.
На след новой неизвестной кибергруппировки эксперты вышли в конце 2016 года, когда один из банков в СНГ обратился в компанию с просьбой расследовать подозрительную активность в своей сети. В памяти сервера банка было обнаружено ПО для тестирования на проникновение Meterpreter, которое было загружено в компонент Windows и позволило программе-вредоносу оставаться незамеченной и свободно собирать пароли системных администраторов. Конечной целью злоумышленников, скорее всего, было получение доступа к финансовым процессам банка, сообщают в «Лаборатории Касперского».
Расследование инцидента позволило экспертам «Лаборатории Касперского» установить, что подобные атаки осуществлялись по всему миру, и группировка до сих пор остается активной. «Упаковка» вредоносного кода в легитимные утилиты позволяет атакующим избегать детектирования методом «белых списков» (когда в системе можно запускать только официальные программы проверенных производителей), а присутствие лишь в памяти системы оставляет исследователей без каких-либо доказательств и артефактов, на основе которых можно провести расследование.
«Стремление атакующих сделать свою активность максимально незаметной и избежать детектирования – проявление последней тенденции в развитии киберугроз. Злоумышленники все активнее используют легитимное и базирующееся в памяти ПО, а также не замечаемые традиционными средствами защиты техники. Вот почему исследование системной памяти становится критически важным», – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».
8 февраля стало известно, что сотрудники МВД России совместно с коллегами из ФСБ пресекли деятельность группы хакеров. Операция была проведена в мае 2016 года. Как сообщила официальный представитель МВД России Ирина Волк, члены группировки проживали в 17 регионах страны и с 2013 года похищали средства со счетов клиентов российских финансовых учреждений. За период своей деятельности 50 участникам организованной группы удалось перевести со счетов банковских организаций более 1 миллиарда рублей.
Помимо незаконного проникновения в банковские системы, на счету злоумышленников взлом объектов критически важной инфраструктуры, в том числе стратегических промышленных предприятий Российской Федерации.
Сотрудниками правоохранительных органов одновременно проведены обыски по тридцати четырем адресам, в ходе которых обнаружено и изъято свыше 90 единиц компьютерной техники, носителей информации и средств связи, денежных средств порядка 4,5 млн рублей, холодное оружие.
В ходе расследования данного уголовного дела к началу 2017 года были установлены другие участники организованной группы, также причастные к противоправной деятельности. В связи с выявленными фактами 25 января этого года в пяти субъектах России (г. Москва, г. Санкт-Петербург, Краснодарский край, Тверская и Свердловская области) задержаны 9 граждан, подозреваемых в участии в хакерских атаках. В отношении одного из них суд избрал меру пресечения в виде заключения под стражу.
Источник: vestifinance.ru