No fim de 2016, especialistas da Kaspersky Lab foram contatados por bancos da Comunidade de Estados Independentes (CSI, na sigla em inglês) após eles encontrarem o software de teste de invasão Meterpreter (usado para fins maliciosos) em seus servidores, em um lugar onde não deveria estar.

A Kaspersky Lab descobriu que o código do Meterpreter estava se misturando com uma sequência de comandos legítimos e outras ferramentas.

As ferramentas tinham se adaptado a um código malicioso que poderia se esconder na memória para coletar as senhas de administradores do sistema de forma invisível.

Assim, os cibercriminosos poderiam controlar os suas vítimas de forma remota e alcançar o seu objetivo final: o acesso a processos financeiros.

Desde de então, a Kaspersky Lab descobriu que esses ataques estão ocorrendo em grande escala, afetando mais de 140 redes em uma ampla gama de setores de atividade, com a maioria das vítimas localizadas nos Estados Unidos, França, Equador, Quênia, Reino Unido e Rússia.

No total, ocorreram invasões em 40 países, incluindo Equador e Brasil.

Não se sabe ainda quem está por trás dos ataques. O uso de códigos abertos, ferramentas comuns do Windows e domínios desconhecidos tornam quase impossível determinar o responsável, ou mesmo se é um único grupo ou vários que compartilham as mesmas ferramentas.

Os grupos mais conhecidos que utilizam métodos semelhantes são o GCMAN e o Carbanak.

Essas ferramentas também tornam difícil descobrir os detalhes de um ataque.

O processo normal de resposta a incidentes é que o pesquisador deve seguir as trilhas deixadas na rede por invasores.

Ainda que os dados de um disco rígido possam permanecer disponíveis durante um ano após um ataque, os artefatos que estão escondidos na memória irão se deletar após a primeira reinicialização do computador.

Felizmente, desta vez, os especialistas chegaram a tempo.

"A determinação que os grupos demonstram para esconder a sua atividade e tornar cada vez mais difícil detectar e responder a incidentes justificam as tendências mais recentes de uso de malware com base na memória. É por isso que a investigação forense com base na memória está se tornando essencial para a análise do malware e de suas funções. Nesses incidentes específicos, os atacantes usaram todas as técnicas possíveis, demonstrando que não são necessários arquivos de malware para a obtenção dos dados de uma rede e como o uso de ferramentas legítimas e de código aberto tornam quase impossível atribuir os ataques", disse Sergey Golovanov, principal pesquisador de segurança da Kaspersky Lab.

Os invasores ainda estão ativos, sendo portanto importante advertir que só é possível detectar esses ataques em RAM, na rede e no registro e que, em tais casos, o uso de regras Yara baseado em uma varredura de arquivos maliciosos não dá resultado.

Os detalhes da segunda parte da operação, mostrando como os invasores usaram táticas novas para obter dinheiro usando caixas eletrônicos, serão apresentados por Sergey Golovanov e Igor Soumenkov durante a Cúpula Global de Analistas de Segurança, que será realizada entre os dias 2 e 6 de abril de 2017.