Um ano depois de advertir que os criminosos virtuais começariam a adotar as ferramentas e táticas das APTs apoiadas por governos para roubar bancos, a Kaspersky Lab confirma o retorno do Carbanak na versão Carbanak 2.0 e revela mais dois grupos com o mesmo estilo de trabalho: o Metel e o GCMAN. Eles atacam organizações financeiras usando malware oculto e personalizado, de reconhecimento no estilo das APTs, junto com softwares legítimos e esquemas novos e inovadores para sacar dinheiro em caixa eletrônico.
O grupo de criminosos virtuais Metel tem diversos truques em seu repertório, mas chama a atenção um esquema muito inteligente: eles tomam o controle de computadores do banco com acesso a transações financeiras (como os computadores da central de atendimento/suporte) e, assim, conseguem automatizar a reversão de transações em caixas eletrônicos.
Isso garante que os saldos dos cartões de débito permaneçam inalterados, independente do número de transações realizadas em caixas eletrônicos. Nos casos observados até o momento, o grupo criminoso roubou valores percorrendo cidades da Rússia durante a noite e esvaziando os caixas eletrônicos de diversos bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco comprometido. Em apenas uma noite, conseguiram fazer as retiradas.
“A fase de atividade dos ataques virtuais está se tornando mais curta. Quando os atacantes se especializam em uma operação específica, são necessários apenas alguns dias ou uma semana para conseguirem o que desejam e fugirem”, comentou Sergey Golovanov, pesquisador-chefe de segurança da Equipe de Pesquisa e Análise Global da Kaspersky Lab.
Durante a investigação da perícia, os especialistas da Kaspersky Lab descobriram que os operadores do Metel conseguem realizar a infecção inicial por meio de emails de phishing criados especialmente com anexos maliciosos e do pacote de exploits Niteris, que visa vulnerabilidades no navegador da vítima. Depois de entrar na rede, os criminosos virtuais usam ferramentas legítimas e de testes de penetração para se movimentar lateralmente, sequestrando o controlador de domínio local. Em seguida, localizam e obtêm o controle dos computadores usados pelos funcionários do banco responsáveis pelo processamento de cartões de pagamento.
O grupo Metel continua ativo, e estão em andamento investigações sobre suas atividades. Até agora não foram identificados ataques fora da Rússia. Mesmo assim, há motivos para suspeitar que a infecção já esteja muito mais disseminada, e os bancos de todo o mundo foram orientados a verificar infecções de forma proativa.
Os três grupos identificados estão passando a usar malware acompanhado de softwares legítimos em suas operações fraudulentas: por que desenvolver ferramentas maliciosas quando os utilitários legítimos podem ser tão eficiente e acionar muito menos alarmes?
Porém, em termos de invisibilidade, o GCMAN vai além: às vezes, consegue atacar uma organização sem usar nenhum malware, executando apenas ferramentas legítimas e de testes de penetração. Nos casos investigados pelos especialistas da Kaspersky Lab, observamos o GCMAN usando os utilitários Putty, VNC, e Meterpreter para a movimentação lateral pela rede até alcançar um computador que possa ser usado para transferir valores para serviços de dinheiro eletrônico sem alertar outros sistemas do banco.
Em um ataque observado pela Kaspersky Lab, os criminosos virtuais permaneceram na rede por um ano e meio antes de efetivar o roubo. O dinheiro era transferido em somas de aproximadamente US$ 200, o limite máximo para pagamentos anônimos na Rússia. A cada minuto, o agendador CRON disparava um script malicioso e mais uma quantia era transferida para uma conta de dinheiro eletrônico pertencente a uma "mula" de dinheiro. As ordens de transação eram enviadas diretamente para a porta de pagamento posterior do banco, sem aparecer em qualquer ponto de seus sistemas internos.
E, por fim, o Carbanak 2.0 marca a reaparição da APT (ameaça persistente avançada) Carbanak, com as mesmas ferramentas e técnica, mas um perfil de vítimas diferente e maneiras inovadoras de retirar o dinheiro.
Em 2015, os alvos do Carbanak 2.0 não foram apenas bancos, mas também os departamentos de planejamento financeiro e contabilidade de organizações de interesse. E, em um exemplo observado pela Kaspersky Lab, o grupo do Carbanak 2.0 acessou uma instituição financeira e começou a alterar as credenciais de propriedade de uma grande empresa. As informações foram modificadas para indicar uma "mula" de dinheiro como acionista da empresa, exibindo suas informações de identidade.
“Os ataques a instituições financeiras descobertos em 2015 indicam uma tendência preocupante dos criminosos virtuais de adotar agressivamente ataques no estilo das APTs. O grupo do Carbanak foi apenas o primeiro de muitos: os criminosos virtuais estão aprendendo rapidamente como usar novas técnicas em suas operações, e temos visto um número maior deles deixando de atacar usuários para visar diretamente os bancos. A lógica é simples: é ali que está o dinheiro”, adverte Sergey Golovanov. “Nosso objetivo é mostrar como e onde, especificamente, os criminosos miram para roubar seu dinheiro. Espero que, depois de ouvir falar dos ataques do GCMAN, todos verifiquem como os servidores de seus bancos na Web são protegidos. No caso do Carbanak, recomendamos proteger o banco de dados que contém informações sobre os proprietários das contas e não apenas seus extratos”.
Os produtos da Kaspersky Lab detectam e bloqueiam o malware usado pelos grupos Carbanak 2.0, Metel e GCMAN. A empresa também está lançando indicadores de comprometimento (IOC, Indicators of Compromise) essenciais e outros dados para ajudar as organizações a encontrar vestígios desses ataques em suas redes corporativas. Para obter mais informações, viste http://securelist.com.
Recomendamos que todas as organizações verifiquem a presença do Carbanak, Metel e GCMAN em suas redes e, em caso positivo, desinfetem seus sistemas e informem a invasão às autoridades legais.
Source: Kaspersky Lab