Assim como o Prilex, este ataque foi criado para acessar remotamente a rede corporativa de, pelo menos, oito bancos na Europa Oriental. A sofisticação do ataque dificulta a detecção do malware, que já gerou dezenas de milhões de dólares em prejuízos.

Ao longo de 2017 e 2018, os especialistas da Kaspersky Lab trabalharam na resposta a incidentes de uma série de roubos cibernéticos que visavam organizações financeiras na Europa Oriental. Os pesquisadores descobriram que, em todos os casos, a rede corporativa havia sido violada por meio de dispositivos desconhecidos controlados pelos invasores e que tinham sido contrabandeados para os prédios das empresas e conectados às suas redes internas. Até o momento, pelo menos oito bancos foram atacados desta forma e os prejuízos são estimados em dezenas de milhões de dólares.

Os cibercriminosos usaram três tipos de dispositivos: um laptop, um Raspberry Pi (computador de placa única, do tamanho de um cartão de crédito) ou um Bash Bunny (ferramenta especialmente projetada para automatizar e realizar ataques via USB), equipado com um modem GPRS, 3G – ou 4G -, que permitiu que os invasores penetrassem remotamente na rede corporativa da organização financeira.

Uma vez estabelecida a conexão, os cibercriminosos tentaram acessar os servidores web para roubar os dados de que precisavam para executar o RDP (protocolo para área de trabalho remoto) em um computador específico para depois se apropriarem do dinheiro ou dados sensíveis. Este método de ataque sem arquivo incluía o uso de kits de ferramentas de execução remota Impacket, winexesvc.exe ou psexec.exe. Na fase final, os criminosos usaram o software de controle remoto para manter aberto o acesso ao computador infectado.

“No último ano e meio, temos observado um tipo completamente novo de ataques a bancos, bastante sofisticado e complexo em termos de detecção. O ponto de entrada para a rede corporativa permaneceu desconhecido por muito tempo, já que poderia estar localizado em qualquer escritório em qualquer região. Esses dispositivos desconhecidos, contrabandeados e escondidos por intrusos, não podiam ser encontrados remotamente. Além disso, o grupo especilizado por trás deste APT usava utilitários e/ou aplicativos legítimos, o que complicou ainda mais a resposta aos incidentes”, diz Sergey Golovanov, especialista em segurança da Kaspersky Lab.

Esta técnica não é novidade na América Latina, que desde 2014 enfrenta o Prilex, golpe que começou atacando caixas eletrônicos e depois evoluiu para roubar cartões de crédito protegidos por senha e chip via sistemas de ponto de venda (POV). Segundo Fabio Assolini, analista sênior de segurança da Kaspersky Lab na América Latina, o malware brasileiro utiliza um blackbox e um modem 3G para viabilizar os ataques aos caixas eletrônicos. "Ataques de blackbox têm se tornado cada vez mais comuns contra grandes e médias empresas. Eles exploram falhas na segurança física e pontos de redes expostos, que possibilitam um ataque que comprometerá o ambiente digital da empresa, no melhor estilo "Mr. Robot". Sua detecção é difícil, mas não é impossível. As empresas têm que investir em inventário de hardware e controle de dispositivos conectados à rede, a fim de diminuir o "shadow IT", além de adotar outras boas práticas de segurança", explica o analista.

Para que estejam protegidas dessa abordagem incomum de roubo digital, a Kaspersky Lab aconselha que instituições adotem as seguintes práticas:
– Prestem especial atenção ao monitoramento de dispositivos conectados. Soluções de segurança empresariais, como o Kaspersky Endpoint Security for Business, contam com ferramentas para simplificar esta gestão. Outra recomentação aumentar o controle de acesso à rede corporativa para facilitar a detecção de atividades suspeitas.
– Identifique e elimine falhas de segurança, incluindo aquelas que envolvem configurações impróprias de rede. O serviço Kaspersky Penetration Testing, que fornece dados de vulnerabilidades encontradas e também aconselha as organizações sobre como corrigi-las para aumentar a segurança da empresa.
– Mantenha um inventário atualizado das máquinas da empresa para faciliar a identificação de equipamentos suspeitos. Solução de segurança mais avançadas, como o Kaspersky Endpoint Security for Business Advanced, conta com esta função – tanto para hardware quanto para software.
– Avalie a necessidade de contar com uma solução de segurança especializada na descoberta e detecção de ameaças avançadas que possa identificar todos os tipos de anomalias e investigar em um nível em detalhes atividades suspeitas na rede corporativa, como o Kaspersky Anti Targeted Attack Platform.