Il nuovo gruppo di hacker russo è in grado di monitorare le attività della propria vittima per conoscerne l’attività quotidiana e ottenere informazioni utili per riuscire a sottrarre il denaro

Online Security Technology

A settembre 2017 i ricercatori di Kaspersky Lab hanno rilevato una nuova serie di attacchi mirati ad almeno 10 organizzazioni finanziarie in diversi Stati tra cui Russia, Armenia e Malesia. Gli attacchi sono stati eseguiti da un nuovo gruppo chiamato Silence che, oltre a rubare i fondi di denaro alle proprie vittime, implementa contemporaneamente tecniche specifiche simili al famigerato gruppo criminale conosciuto come Carbanak. Gli attacchi sono ancora in corso.

Silence si unisce alla lista delle più devastanti e complesse operazioni di cyber rapina, come Metel, GCMAN e Carbanak, in grado di sottrarre alle organizzazioni finanziarie milioni di dollari. La maggior parte di queste operazioni sono state effettuate utilizzando una specifica tecnica: dopo aver acquisito un accesso stabile alle reti bancarie interne per un lungo periodo, ed averne monitorato l’attività quotidiana. esaminando separatamente i dettagli di ciascuna rete bancaria, al momento giusto i criminali hanno sfruttato le conoscenze acquisite per rubare più denaro possibile.

Questo è il caso di Silence Trojan, che compromette l’infrastruttura della vittima utilizzando email di spear phishing.

Gli allegati nocivi all’interno delle email sono molto sofisticati. Una volta che la vittima li apre, basta un clic per avviare una serie di download e eseguire il dropper. Questo programma comunica con il server di comando e controllo, invia l’ID della macchina infetta, effettua il download ed esegue payload dannosi responsabili di varie attività come la registrazione dello schermo, il caricamento dei dati, il furto delle credenziali, il controllo da remoto e molto altro.

Un dato molto interessante di questi attacchi è che i criminali sfruttano l’infrastruttura delle istituzioni finanziarie già infette per effettuare nuovi attacchi. Inviano messaggi di posta elettronica che risultano arrivare da impiegati reali con una richiesta di apertura di un conto bancario diretti a nuove vittime. Utilizzando questo trucco, i criminali sono certi di non destare sospetti rispetto al vettore di infezione.

Una volta ottenuto l’accesso all’interno della rete i criminali cominciano ad esaminarla. Il gruppo criminale Silence è in grado di monitorare le attività della propria vittima, effettuare diversi screenshot dello schermo, fornire video in tempo reale di tutte le attività della vittima, e molto altro. Tutte queste funzionalità hanno un solo scopo: conoscere l’attività quotidiana della vittima e ottenere informazioni utili per riuscire a sottrarle il denaro. Questo processo e questo stile rispecchiano fortemente le tecniche di Carbanak.

Sulla base dei campioni linguistici riscontrati durante la ricerca sulle componenti nocive di questo attacco i ricercatori di sicurezza di Kaspersky Lab hanno stabilito che i criminali che si nascondono dietro agli attacchi di Silence parlano russo.

“Il Silence Trojan è un nuovo esempio di cybercriminali che spostano la propria attenzione e i propri attacchi dagli utenti finali alle banche. Si tratta di una tendenza in crescita, e saranno sempre di più le cyber rapine professionali e specializzate in stile APT che emergeranno e avranno successo. La cosa più preoccupante è che, a causa del loro modo di agire nell’ombra, questi attacchi possono avere successo a prescindere dalle peculiarità dell’architettura di sicurezza di ciascuna banca”, ha dichiarato Sergey Lozhkin, Security Expert at Kaspersky Lab.

Per proteggersi da possibili attacchi informatici, i ricercatori di Kaspersky Lab consigliano alle organizzazioni di adottare le seguenti misure:

  • Utilizzare una soluzione specializzata contro le minacce avanzate in grado di rilevare tutti i tipi di anomalie e di esaminare i file sospetti ad un livello più profondo per rivelare, riconoscere e scoprire gli attacchi complessi.
  • Eliminare del tutto i “buchi” alla sicurezza, inclusi quelli che implicano configurazioni di sistema improprie o errori nelle applicazioni proprietarie.
  • Configurare regole rigorose per l’elaborazione delle e-mail e abilitare soluzioni di sicurezza con funzionalità dedicate a phishing, attacchi dannosi e spam.