Um ano depois de advertir que os criminosos virtuais começariam a adotar as ferramentas e táticas das APTs apoiadas por governos para roubar bancos, a Kaspersky Lab confirma o retorno do Carbanak na versão Carbanak 2.0 e revela mais dois grupos com o mesmo estilo de trabalho: o Metel e o GCMAN. Eles atacam organizações financeiras usando malware oculto e personalizado, de reconhecimento no estilo das APTs, junto com softwares legítimos e esquemas novos e inovadores para sacar dinheiro em caixa eletrônico.

O grupo de criminosos virtuais Metel tem diversos truques em seu repertório, mas chama a atenção um esquema muito inteligente: eles tomam o controle de computadores do banco com acesso a transações financeiras (como os computadores da central de atendimento/suporte) e, assim, conseguem automatizar a reversão de transações em caixas eletrônicos.

Isso garante que os saldos dos cartões de débito permaneçam inalterados, independente do número de transações realizadas em caixas eletrônicos. Nos casos observados até o momento, o grupo criminoso roubou valores percorrendo cidades da Rússia durante a noite e esvaziando os caixas eletrônicos de diversos bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco comprometido. Em apenas uma noite, conseguiram fazer as retiradas.

“A fase de atividade dos ataques virtuais está se tornando mais curta. Quando os atacantes se especializam em uma operação específica, são necessários apenas alguns dias ou uma semana para conseguirem o que desejam e fugirem”, comentou Sergey Golovanov, pesquisador-chefe de segurança da Equipe de Pesquisa e Análise Global da Kaspersky Lab.

Durante a investigação da perícia, os especialistas da Kaspersky Lab descobriram que os operadores do Metel conseguem realizar a infecção inicial por meio de emails de phishing criados especialmente com anexos maliciosos e do pacote de exploits Niteris, que visa vulnerabilidades no navegador da vítima. Depois de entrar na rede, os criminosos virtuais usam ferramentas legítimas e de testes de penetração para se movimentar lateralmente, sequestrando o controlador de domínio local. Em seguida, localizam e obtêm o controle dos computadores usados pelos funcionários do banco responsáveis pelo processamento de cartões de pagamento.

O grupo Metel continua ativo, e estão em andamento investigações sobre suas atividades. Até agora não foram identificados ataques fora da Rússia. Mesmo assim, há motivos para suspeitar que a infecção já esteja muito mais disseminada, e os bancos de todo o mundo foram orientados a verificar infecções de forma proativa. Os três grupos identificados estão passando a usar malware acompanhado de softwares legítimos em suas operações fraudulentas: por que desenvolver ferramentas maliciosas quando os utilitários legítimos podem ser tão eficiente e acionar muito menos alarmes?

Como a cibergangue Carbanak ataca instituições financeiras

Porém, em termos de invisibilidade, o GCMAN vai além: às vezes, consegue atacar uma organização sem usar nenhum malware, executando apenas ferramentas legítimas e de testes de penetração. Nos casos investigados pelos especialistas da Kaspersky Lab, observamos o GCMAN usando os utilitários Putty, VNC, e Meterpreter para a movimentação lateral pela rede até alcançar um computador que possa ser usado para transferir valores para serviços de dinheiro eletrônico sem alertar outros sistemas do banco.

Em um ataque observado pela Kaspersky Lab, os criminosos virtuais permaneceram na rede por um ano e meio antes de efetivar o roubo. O dinheiro era transferido em somas de aproximadamente US$ 200, o limite máximo para pagamentos anônimos na Rússia. A cada minuto, o agendador CRON disparava um script malicioso e mais uma quantia era transferida para uma conta de dinheiro eletrônico pertencente a uma "mula" de dinheiro. As ordens de transação eram enviadas diretamente para a porta de pagamento posterior do banco, sem aparecer em qualquer ponto de seus sistemas internos.

E, por fim, o Carbanak 2.0 marca a reaparição da APT (ameaça persistente avançada) Carbanak, com as mesmas ferramentas e técnica, mas um perfil de vítimas diferente e maneiras inovadoras de retirar o dinheiro.

Via assessoria

Cupons de desconto TecMundo: