Ao longo de 2017 e 2018, os especialistas de segurança trabalharam na resposta a incidentes de uma série de roubos cibernéticos que visavam organizações financeiras na Europa Oriental. Os pesquisadores descobriram que, em todos os casos, a rede corporativa havia sido violada por meio de dispositivos desconhecidos controlados pelos invasores e que tinham sido contrabandeados para os prédios das empresas e conectados às suas redes internas. Até o momento, pelo menos oito bancos foram atacados desta forma e os prejuízos são estimados em dezenas de milhões de dólares.
Os cibercriminosos usaram três tipos de dispositivos: um laptop, um Raspberry Pi (computador de placa única, do tamanho de um cartão de crédito) ou um Bash Bunny (ferramenta especialmente projetada para automatizar e realizar ataques via USB), equipado com um modem GPRS, 3G – ou 4G -, que permitiu que os invasores penetrassem remotamente na rede corporativa da organização financeira.
Uma vez estabelecida a conexão, os cibercriminosos tentaram acessar os servidores web para roubar os dados de que precisavam para executar o RDP (protocolo para área de trabalho remoto) em um computador específico para depois se apropriarem do dinheiro ou dados sensíveis. Este método de ataque sem arquivo incluía o uso de kits de ferramentas de execução remota Impacket, winexesvc.exe ou psexec.exe. Na fase final, os criminosos usaram o software de controle remoto para manter aberto o acesso ao computador infectado.
“No último ano e meio, temos observado um tipo completamente novo de ataques a bancos, bastante sofisticado e complexo em termos de detecção. O ponto de entrada para a rede corporativa permaneceu desconhecido por muito tempo, já que poderia estar localizado em qualquer escritório em qualquer região. Esses dispositivos desconhecidos, contrabandeados e escondidos por intrusos, não podiam ser encontrados remotamente. Além disso, o grupo especializado por trás deste APT usava utilitários e/ou aplicativos legítimos, o que complicou ainda mais a resposta aos incidentes”, diz Sergey Golovanov, especialista em segurança da Kaspersky Lab.
Esta técnica não é novidade na América Latina, que desde 2014 enfrenta o Prilex, golpe que começou atacando caixas eletrônicos e depois evoluiu para roubar cartões de crédito protegidos por senha e chip via sistemas de ponto de venda (POV). Segundo Fabio Assolini, analista sênior de segurança da Kaspersky Lab na América Latina, o malware brasileiro utiliza um blackbox e um modem 3G para viabilizar os ataques aos caixas eletrônicos. “Ataques de blackbox têm se tornado cada vez mais comuns contra grandes e médias empresas. Eles exploram falhas na segurança física e pontos de redes expostos, que possibilitam um ataque que comprometerá o ambiente digital da empresa, no melhor estilo “Mr. Robot”. Sua detecção é difícil, mas não é impossível. As empresas têm que investir em inventário de hardware e controle de dispositivos conectados à rede, a fim de diminuir o “shadow IT”, além de adotar outras boas práticas de segurança”, explica o analista.
