DarkVishnya, una nueva oleada de ataques que pone en jaque a los bancos de Europa del Este
"Es un tipo de ataque completamente nuevo, bastante sofisticado y complejo en términos de detección”, expresan desde Kaspersky.
Europa del Este sigue siendo un filón para los ciberatacantes. Kaspersky ha descubierto una nueva oleada de robos a organizaciones financieras de la región durante los dos últimos años. Los analistas de la empresa han descubierto que todos los casos estudiados siguen un patrón; se introduce un dispositivo desconocido en el edificio de la corporación (ordenador portátil, Raspberry Pi o Bash Bunny equipados con GPRS, módem 3G o LTE) y se conecta a su red. Hasta el momento, se ha atacado a al menos ocho bancos de la región, con pérdidas estimadas en decenas de millones de euros.
Bautizada como DarkVishnya, esta oleada aprovecha que, una vez establecida la conexión, los cibercriminales intentaron obtener acceso a los servidores web para hacerse con los datos que necesitaban para ejecutar RDP (protocolo de escritorio remoto) en un ordenador y luego hacerse con fondos o datos. Este método de ataque fileless incluyó el uso de kits de herramientas de ejecución remota como Impacket, winexesvc.exe o psexec.exe. En la etapa final, los atacantes utilizaron software de control remoto para mantener el acceso al ordenador infectado.
“Durante el último año y medio observamos en los bancos un tipo de ataque completamente nuevo, bastante sofisticado y complejo en términos de detección”, asegura Sergey Golovanov, analista de seguridad de la organización. “El punto de entrada a la red del banco permaneció desconocido durante mucho tiempo, ya que podía situarse en cualquier oficina y en cualquier región. Estos dispositivos desconocidos, introducidos secretamente por terceros y ocultos, no se podían descubrir remotamente. Además, el actor de amenazas utilizó servicios públicos legítimos, lo que complicó aún más la respuesta al incidente”.
