В 2017-2018 годах эксперты «Лаборатории Касперского» были привлечены к расследованию нескольких киберограблений банков, в ходе которых вредоносное ПО проникало в корпоративную сеть с неизвестного устройства, в буквальном смысле подброшенного злоумышленниками. Впоследствии подобный вид атак получил название DarkVishnya. На сегодняшний день известно по крайней мере о восьми банках в Восточной Европе, которые были ограблены таким образом, а примерный ущерб от произошедших инцидентов составил несколько десятков миллионов долларов.

В каждом зафиксированном случае, чтобы начать атаку, киберпреступники «подбрасывали» своё устройство в здание организации и физически подключали к корпоративной сети компании. По данным специалистов «Лаборатории Касперского», злоумышленники использовали три вида гаджетов: ноутбук (как правило, недорогой нетбук), Raspberry Pi (одноплатный компьютер размером с кредитную карту) и Bash Bunny (специально разработанный инструмент для автоматизации и проведения USB-атак). Эти устройства могли быть также дополнительно оснащены GPRS-, 3G- или LTE-модемом, чтобы обеспечивать удалённое проникновение в корпоративную сеть организации.

В ходе атак киберпреступники пытались получить доступ к общим сетевым папкам, веб-серверам и так далее. Украденные данные они использовали для подключения к серверам и рабочим станциям, предназначенным для осуществления платежей или содержащим другую полезную для злоумышленников информацию. После успешного закрепления в инфраструктуре финансового учреждения злоумышленники использовали легитимное ПО для удалённого управления. Поскольку киберпреступники применяли бесфайловые методы и PowerShell, они обходили белые списки и доменные политики. Другие инструменты, используемые злоумышленниками, — это Impacket, а также winexesvc.exe или psexec.exe для дистанционного запуска исполняемых файлов. Далее денежные средства выводились, например, через банкоматы.

«В последние полтора года мы наблюдали принципиально новый вид атак на банки — достаточно изощрённый и сложный в плане обнаружения киберпреступников. Как правило, точка входа в корпоративную сеть в операциях DarkVishnya долгое время оставалась неизвестной, поскольку она могла находиться в любом из офисов, расположенных в разных регионах и даже странах. А неизвестное устройство, подброшенное и спрятанное злоумышленниками, никак нельзя было найти удалённо. Поиск усложнялся тем, что в ходе атак использовались стандартные утилиты, — рассказал Сергей Голованов, ведущий антивирусный эксперт „Лаборатории Касперского“. — Чтобы защититься от этой необычной схемы цифровых ограблений, мы советуем финансовым организациям крайне ответственно подходить к кибербезопасности, в частности уделять особое внимание контролю подключаемых устройств и доступа в корпоративную сеть».

Для обеспечения кибербезопасности «Лаборатория Касперского» рекомендует финансовым организациям использовать защитные решения с системой контроля доступа в сеть (Network Access Control) и функцией контроля устройств (Device Control) — например, Kaspersky Endpoint Security для бизнеса.