December 27, 2019

Злоумышленники пытаются украсть деньги через уязвимость в корпоративном VPN

«Лаборатория Касперского» обнаружила серию атак на финансовые и телекоммуникационные компании в Восточной Европе и Средней Азии, основной целью которых была кража денег. Из каждой атакованной финансовой организации злоумышленники пытались вывести по несколько десятков миллионов долларов. В корпоративных сетях телеком-компаний они искали данные для доступа к интересующей их финансовой информации. 

Объединяет все эти инциденты общая техника атак и единая точка входа злоумышленников. Как выяснили эксперты «Лаборатории Касперского» в ходе расследования этих неудавшихся попыток киберограблений, преступники использовали уязвимость в VPN-решениях, которые были установлены во всех атакованных организациях. Эта уязвимость известна как CVE-2019-11510, инструменты для её эксплуатации можно свободно найти в открытом доступе. Таким способом злоумышленники получают данные от учётных записей администраторов корпоративных сетей и таким образом обеспечивают себе доступ к ценной информации. 

Сообщалось, что уязвимостью CVE-2019-11510 успели воспользоваться разные кибергруппировки. За инцидентами, известными «Лаборатории Касперского», вероятнее всего, стоят русскоязычные злоумышленники – к таким выводам эксперты пришли после изучения техник и тактик, с помощью которых совершались атаки.

«Несмотря на то, что уязвимость была обнаружена еще весной 2019 года, многие компании пока не установили необходимое обновление. Осенью «Лаборатория Касперского» принимала участие в расследовании нескольких подобных инцидентов. Учитывая доступность эксплойта, такие атаки могут стать более массовыми, – сказал Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Поэтому мы настоятельно рекомендуем компаниям установить последнюю версию используемого VPN-решения, не забывать про защитные решения и следить за новостями об актуальном ландшафте киберугроз».

Kaspersky Anti Targeted Attack Platform детектирует объекты, обнаруженные в рамках этой кампании, с вердиктом TCP.Exploit.CVE-2019-11510.

Для того чтобы минимизировать риск стать жертвой целевой атаки, «Лаборатория Касперского» рекомендует организациям:

  • своевременно обновлять всё используемое ПО – это помогает закрывать известные уязвимости, в том числе ещё до того, как ими успеют воспользоваться злоумышленники;
  • пользоваться аналитическими сервисами, которые помогут быть в курсе актуального ландшафта киберугроз;
  • использовать специализированные решения, способные распознавать сложные целенаправленные атаки.