Carbanak e oltre: nuovi attacchi alle banche

Nel 2020 +20% di truffe legate alle acquisizioni dei conti correnti

Kaspersky Lab ha identificato nuove frodi e imitazioni della celebre cyber rapina

Kaspersky Lab, un anno dopo aver avvertito che i cyber criminali avrebbero iniziato ad adottare i tool e le tattiche delle APT supportate dai governi per rapinare le banche, ha confermato il ritorno di Carbanak come Carbanak 2.0 e ha svelato l’esistenza di due nuovi gruppi che operano nello stesso modo: Metel e GCMAN. Attaccano organizzazioni finanziarie sotto copertura in stile APT usando malware personalizzati, oltre a software legittimi e nuovi e innovativi schemi per ottenere denaro.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il gruppo cyber criminale Metel utilizza numerose strategie di attacco ed è particolarmente interessante per via di uno schema molto brillante: il gruppo ottiene il controllo di una macchina all’interno di una banca che abbia accesso alle transazioni di denaro (ad esempio i computer del call center o dell’assistenza) per automatizzare il rollback delle transazioni dei bancomat.

La capacità di effettuare il rollback assicura che il bilancio delle carte di debito rimanga lo stesso indipendentemente dal numero di transazioni bancomat effettuate. Negli esempi osservati fino ad ora, il gruppo criminale ha rubato denaro girando di notte per alcune città russe e svuotando i bancomat di diverse banche, usando ripetutamente le stesse carte di debito emesse dalla banca compromessa. Nel tempo di una sola notte riescono a fare cassa.

“La fase di azione di un attacco informatico sta diventando sempre più breve. Quando i criminali diventano abili in una particolare operazione, necessitano solo di alcuni giorni o una settimana per prendere quello che vogliono e scappare”, ha commentato Sergey Golovanov, Principal Security Researcher del Global Research & Analysis Team di Kaspersky Lab.

Leggi anche:  Security Summit Streaming Edition 2024: torna l’appuntamento in streaming con la cybersecurity

Durante l’indagine forense, gli esperti di Kaspersky Lab hanno scoperto che gli operatori di Metel effettuano l’infezione iniziale attraverso email di spear-phishing dedicate, con allegati nocivi e con l’exploit pack Niteris, prendendo di mira le vulnerabilità del browser della vittima. Una volta dentro la rete, i cyber criminali usano tool legittimi di pentesting per muoversi lateralmente, facendo l’hijacking del controller del dominio locale e infine localizzando e ottenendo il controllo dei computer usati dagli impiegati della banca addetti al processing delle carte di pagamento.

Il gruppo Metel rimane attivo e l’indagine sulle sue attività è ancora in corso. Fino ad ora non sono stati identificati attacchi all’esterno della Russia. Tuttavia, c’è motivo di sospettare che l’infezione sia molto più diffusa e le banche di tutto il mondo sono invitate a controllare proattivamente l’eventuale presenza di un’infezione.

Tutte e tre i gruppi identificati si stanno spostando verso l’utilizzo di malware che operi insieme a software legittimi: perché scrivere numerosi tool nocivi ad hoc, quando funzionalità legittime possono essere altrettanto efficaci e attivare molti meno allarmi?

Tuttavia, in termini di invisibilità il gruppo criminale GCMAN va ben oltre: alcune volte può attaccare con successo un’organizzazione senza usare alcun malware, usando solamente tool legittimi e di pentesting. Nei casi studiati dagli esperti di Kaspersky Lab, è stato visto GCMAN usare le utility Putty, VNC e Meterpreter per muoversi lateralmente nella rete fino a quando non hanno raggiunto la macchina che poteva essere usata per trasferire denaro a servizi di e-currency senza allertare altri sistemi bancari.

In un attacco osservato da Kaspersky Lab, i cybercriminali sono rimasti nella rete per un anno e mezzo prima di avviare il furto. Il denaro veniva trasferito in somme di circa 200 dollari, il limite massimo per i trasferimenti anonimi in Russia. Ogni minuto, lo scheduler CRON emetteva uno script nocivo e un’altra somma veniva trasferita a un account di moneta virtuale appartenente a un money mule. Gli ordini di transazione venivano inviati direttamente al gateway di pagamento della banca e non comparivano all’interno dei sistemi interni della banca.

Leggi anche:  Cisco Hypershield e acquisizione di Splunk, inizia la nuova era della security

Infine, Carbanak 2.0 segna il ritorno dell’APT (Advanced Persistent Threat) Carbanak, con gli stessi tool e le stesse tecniche, ma con un profilo diverso delle vittime e modi innovativi per ottenere il denaro.

Nel 2015, gli obiettivi di Carbanak 2.0 non sono stati solo le banche, ma anche i reparti amministrativi e di contabilità di ogni azienda di interesse. In un caso esaminato da Kaspersky Lab, il gruppo Carbanak 2.0 è riuscito a entrare in un’istituzione finanziaria e a cambiare le credenziali di proprietà di una grande impresa. L’informazione è stata modificata per nominare un money mule azionista dell’azienda, mostrando i suoi dati di identificazione.

“Gli attacchi a istituzioni finanziarie scoperti nel 2015 indicano un trend preoccupante che vede i cyber criminali sfruttare in modo aggressivo gli attacchi in stile APT. Il gruppo Carbanak è stato solo il primo di molti: i criminali informatici ora imparano in fretta come usare le nuove tecniche nelle proprie operazioni e vediamo molti di loro passare dall’attaccare gli utenti all’attaccare direttamente le banche. La loro logica è semplice: il denaro è lì”, ha commentato Sergey Golovanov. “E noi vogliamo mostrare come e quando, nello specifico, i gruppi criminali potrebbero colpire per ottenere i vostri soldi. Mi aspetto che dopo aver sentito degli attacchi di GCMAN, andrete a controllare la protezione dei vostri server per l’internet banking mentre nel caso di Carbanak suggeriamo di proteggere il database che contiene le informazioni dei proprietari dei conti, non solo il loro saldo”.

I prodotti di Kaspersky Lab rilevano e bloccano efficacemente i malware usati dai gruppi criminali Carbanak 2.0, Metel e GCMAN. L’azienda sta inoltre rilasciando fondamentali Indicators of Compromise (IOC) e altre informazioni per aiutare le organizzazioni a cercare le tracce di questi gruppi di attacco all’interno delle proprie reti aziendali.

Leggi anche:  Le nuove appliance ActiveProtect di Synology consentono una protezione dei dati aziendali scalabile, centralizzata e semplificata