«Лаборатория Касперского» обнаружила серию атак на финансовые и телекоммуникационные компании в Восточной Европе и Средней Азии, основной целью которых была кража денег.
Из каждой атакованной финансовой организации злоумышленники пытались вывести по несколько десятков миллионов долларов. В корпоративных сетях телеком-компаний они искали данные для доступа к интересующей их финансовой информации.
Все эти инциденты объединяла общая техника атак и единая точка входа злоумышленников. В ходе изучения этих неудавшихся попыток ограблений, исследователи обнаружили, что преступники эксплуатировали уязвимость в VPN-решениях, которые были установлены во всех атакованных организациях. Данная проблема известна под идентификатором CVE-2019-11510, инструменты для ее использования можно свободно найти в открытом доступе (впервые об этой проблеме на конференции Black Hat рассказали специалисты компании Devcore). Таким способом злоумышленники получали данные от учетных записей администраторов корпоративных сетей и обеспечивали себе доступ к ценной информации.
Ранее уже сообщалось, что уязвимостью CVE-2019-11510 успели воспользоваться разные хак-группы, но за инцидентами, обнаруженными «Лабораторией Касперского», вероятнее всего, стоят русскоязычные злоумышленники – к таким выводам эксперты пришли после изучения техник и тактик, с помощью которых совершались атаки.
«Несмотря на то, что уязвимость была обнаружена еще весной 2019 года, многие компании пока не установили необходимое обновление. Осенью “Лаборатория Касперского” принимала участие в расследовании нескольких подобных инцидентов. Учитывая доступность эксплойта, такие атаки могут стать более массовыми, – сказал Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Поэтому мы настоятельно рекомендуем компаниям установить последнюю версию используемого VPN-решения, не забывать про защитные решения и следить за новостями об актуальном ландшафте киберугроз».