Na początku lutego polskie banki poinformowały o atakach hakerskich - wykryły one na swoich terminalach i serwerach nieznane szkodliwe oprogramowanie oraz budzące wątpliwości zaszyfrowane programy czy pliki wykonywalne. Incydenty te okazały się częścią kampanii na dużą skalę, która ma na celu infekowanie serwisów WWW powszechnie uważanych za bezpieczne, aby za ich pośrednictwem zaatakować przedsiębiorstwa z różnych sektorów.
Trend Micro zbadało nowe zagrożenie. Oprogramowanie, o którym mowa - to RATANKBA. Wykorzystano je nie tylko w atakach na polskie banki, lecz także w serii podobnych incydentów wykrytych w instytucjach finansowych w Meksyku, Urugwaju, Wielkiej Brytanii i Chile.
Banki nie były jedynymi celami cyberprzestępców. Wśród ofiar znalazły się również przedsiębiorstwa z takich branż jak telekomunikacja, doradztwo w dziedzinie zarządzania, informatyka, ubezpieczenia, lotnictwo i edukacja. Kampania nie ograniczała się do Ameryki Północnej i Europy: wiele ataków zaobserwowaliśmy również w regionie Dalekiego Wschodu, zwłaszcza na Tajwanie, w Hongkongu i Chinach.
Przestępcy zastosowali „taktykę wodopoju”. Zainfekowali normalne, uważane za bezpieczne serwisy WWW, które często odwiedzają użytkownicy będący ostatecznym celem. W serwisach tych umieścili szkodliwy kod JavaScript. Pobiera on odciski cyfrowe komponentów przeglądarki, a następnie ściąga eksploity z systemów, na których umieszczono szkodliwe oprogramowanie oraz całe zestawy eksploitów (niektóre z tych systemów prawdopodobnie też zostały zainfekowane).
W jednym z obserwowanych przez Trend Micro incydentów szkodliwe oprogramowanie RATANKBA (TROJ_RATANKBA.A), które na początku zostało umieszczone w systemie ofiary, nawiązywało łączność z normalnym i uważanym za bezpieczny (ale zainfekowanym) serwisem WWW (serwis sprzedający aplikacje do urządzeń mobilnych eye-watch[.]in:443). Z serwisu tego pobierane było również narzędzie hakerskie (nbt_scan.exe). Ponadto przejęta domena była wykorzystywana w kampanii jako jedna z platform komunikacji z serwerem C&C.
Instytucje finansowe mogą chronić swoje sieci za pomocą zaawansowanych rozwiązań, które wykrywają i analizują potencjalne zagrożenia oraz skutecznie reagują na ataki nawet najbardziej zdeterminowanych hakerów.
W ramach rozwiązań Trend Micro Deep Security i Vulnerability Protection dostępne są wirtualne poprawki chroniące punkty końcowe przed takimi zagrożeniami jak przekierowania na adresy URL, na których znajduje się szkodliwe oprogramowanie, oraz eksploity wykorzystujące luki w zabezpieczeniach. OfficeScan Vulnerability Protection zabezpiecza punkty końcowe przed znanymi i nieznanymi eksploitami, zanim użytkownik zdąży zainstalować odpowiednie poprawki. Rozwiązanie Trend Micro™ Deep Discovery™ umożliwia wykrywanie eksploitów i innych podobnych zagrożeń, ich dogłębną analizę oraz proaktywne reagowanie na ataki z wykorzystaniem wyspecjalizowanych modułów, niestandardowego wydzielonego środowiska uruchamiania aplikacji (ang. sandbox) oraz płynnej korelacji obejmującej cały cykl ataku. Pozwala to na wykrywanie ataków nawet bez aktualizacji takich modułów lub wzorców.
Źródło: Trend Micro