Kaspersky Lab: Attacchi bancari fileles, ecco come avvengono

redazione

A febbraio 2017 Kaspersky Lab ha pubblicato i risultati di un’indagine su misteriosi attacchi fileless ad alcune banche: i criminali usavano un malware residente in memoria per infettare le reti bancarie. Ma perché lo stavano facendo? Il caso ATMitch ha aiutato gli esperti ad ottenere il quadro d’insieme.

L’indagine è iniziata dopo che gli specialisti forensi della banca hanno scoperto e condiviso con Kaspersky Lab due file contenenti log di malware trovati nell’hard drive dell’ATM (kl.txt e logfile.txt). Questi sono gli unici due file lasciati dopo l’attacco: non è stato possibile trovare i file eseguibili nocivi poiché dopo la rapina i cyber criminali hanno cancellato il malware. Tuttavia, anche queste scarse informazioni hanno permesso a Kaspersky Lab di condurre con successo un’indagine.

Preleva e cancella

Grazie ai file di log, gli esperti di Kaspersky Lab sono stati in grado di identificare pezzi di informazione in formato testo che li hanno aiutati a creare delle YARA rule per gli archivi pubblici di malware e a trovare un sample. Le YARA rule – essenzialmente delle stringhe di ricerca – aiutano gli analisti a scoprire, raggruppare e categorizzare campioni di malware connessi e creare collegamenti sulla base di pattern comportamentali sospetti su sistemi o reti che presentano somiglianze.

Dopo una giornata di attesa, gli esperti hanno trovato il desiderato campione di malware: “tv.dll” o “ATMitch”, come è stato successivamente rinominato. È stato scoperto due volte: una volta in Kazakistan e una in Russia.

Questo malware viene installato ed eseguito da remoto su un ATM dall’interno della banca attraverso lo strumento di amministrazione remota di questi dispositivi. Dopo l’installazione e la connessione all’ATM, il malware ATMitch comunica con il Bancomat come se si trattasse di un software legittimo. Questo permette ai criminali di eseguire una serie di comandi, come raccogliere informazioni sul numero di banconote nei cassetti dell’ATM. Inoltre, permette ai criminali di erogare denaro in ogni momento, semplicemente premendo un tasto.

Solitamente i criminali iniziano raccogliendo informazioni sulla somma di denaro all’interno di una macchina, per poi inviare il comando di erogare un certo numero di banconote da qualsiasi cassetto. Ai criminali non resta, quindi, che ritirare le banconote e andarsene. Una simile rapina richiede solo pochi secondi.

Una volta svaligiato l’ATM, il malware elimina le proprie tracce.

Di chi si tratta?

Non è ancora noto chi si celi dietro questi attacchi. L’utilizzo di codice open source nell’exploit, di comuni utility Windows e domini sconosciuti nella prima fase di attacco rende praticamente impossibile determinare quale gruppo ne sia responsabile. Tuttavia, “tv.dll”, usato nella fase di attacco che coinvolge gli ATM, contiene risorse in lingua russa e i gruppi conosciuti che potrebbero rispondere a questo profilo sono GCMAN e Carbanak.

 

“Questi criminali potrebbero essere ancora attivi, ma non temete! Combattere questo tipo di attacchi richiede competenze specifiche agli specialisti di sicurezza che proteggono le organizzazioni. La violazione ed esfiltrazione dei dati da una rete può avere successo solo con tool comuni e legittimi e, dopo l’attacco, i criminali potrebbero cancellare tutti i dati che porterebbero al rilevamento, non lasciando alcuna traccia. Per affrontare questi problemi, le indagini forensi nella memoria sono sempre più fondamentali per l’analisi dei malware e delle loro funzionalità. Come provato da questo caso, una pronta risposta diretta agli incidenti può aiutare a risolvere anche i casi più difficili”, ha commentato Sergey Golovanov, Principal Security Researcher di Kaspersky Lab.

Le soluzioni Kaspersky Lab rilevano con successo le attività criminali che sfruttano le tattiche, tecniche e procedure precedentemente descritte. Ulteriori informazioni su questa storia e le Yara rule per le analisi forensi degli attacchi fileless possono essere trovate nel blog post su Securelist.com. I dettagli sulle tecniche, compresi gli indicatori di compromissione, sono inoltre a disposizione dei clienti dei Kaspersky Intelligence Services.