La compañía ha confirmado el regreso de Carbanak como Carbanak 2.0 y ha descubierto dos grupos más que trabajan en la misma línea: Metel y GCMAN. Sus ataques se dirigen a organismos financieros usando el estilo APT encubierto y malware personalizado, junto con software legítimo y nuevos sistemas innovadores para retirar el dinero.
El grupo cibercriminal Metel cuenta con muchas técnicas y un esquema muy inteligente: obtiene el control de los equipos que tienen acceso a las transacciones financieras dentro de un banco (por ejemplo, ordenadores del centro de atención telefónica/soporte del banco) y así puede automatizar la reversión de transacciones en cajeros automáticos. De este modo, se garantizan que el saldo de las tarjetas sigue siendo el mismo, independientemente del número de transacciones realizadas en cajeros automáticos. En los ejemplos observados hasta la fecha, el grupo cibercriminal roba dinero por la noche en ciudades alrededor de Rusia y vacía cajeros automáticos de determinados bancos utilizando muchas veces con las mismas tarjetas de débito emitidas por el banco comprometido. En sólo una noche retiran todo el dinero.
“Hoy en día, la fase activa de un ciberataque es más corta. Cuando los cibercriminales se convierten en expertos en una operación, les lleva sólo unos días o una semana conseguir lo que quieren y salir corriendo”, comenta Sergey Golovanov, analista principal del Great de Kaspersky Lab.
Durante la investigación forense, los expertos de Kaspersky Labdescubrieron que Metel consiguió la infección inicial a través de correos electrónicos phishing con adjuntos malicioso y a través del paquete exploit Niteris, que aprovecha las vulnerabilidades en el navegador de la víctima. Una vez dentro la red, utilizan herramientas legítimas y Pentesting (test de penetración) para moverse lateralmente, secuestrando el controlador de dominio local y, finalmente, localizando y obteniendo el control de los ordenadores utilizados por los trabajadores del banco encargados de las tarjetas de pago.
El grupo Metel permanece activo y la investigación sobre sus actividades sigue en marcha. Hasta el momento no se han identificado ataques fuera de Rusia. Sin embargo, hay motivos para sospechar que la infección está mucho más extendida y se aconseja a los bancos de todo el mundo comprobar de forma proactiva la infección.
El actor GCMAN es todavía más sigiloso y va un paso más allá: en ocasiones pueden atacar con éxito una organización sin utilizar ningún tipo de malware y corriendo únicamente herramientas legítimas y pentesting. En los casos investigados por los expertos de Kaspersky Lab, se detectó que los cibercriminales emplearon las utilidades Meterpreter, Putty, VNC para moverse de forma por la red hasta encontrar una máquina que pudieran utilizar para transferir dinero sin alertar a los sistemas bancarios.
En uno de los ataques observados por Kaspersky Lab, los cibercriminales permanecieron en la red un año y medio antes de activar el robo. El dinero se transfería en cantidades de alrededor de 200 dólares, el límite máximo para pagos anónimos en este país. Cada minuto, el planificador CRON disparaba un script malicioso, y otra suma se transfería a una cuenta perteneciente a una cibermula. Las órdenes de transacción se enviaban directamente a la pasarela de pago, sin que quedara constancia en los sistemas internos del banco.
Y, por último, Carbanak 2.0 marca el resurgimiento de la APT Carbanak, con las mismas herramientas y técnicas, pero con un perfil de víctima diferente y formas innovadoras de retirar el dinero.
En 2015, los objetivos de Carbanak 2.0 no sólo eran los bancos, también los departamentos financieros y de contabilidad de cualquier organización. Kaspersky Lab descubrió cómo Carbanak 2.0 accedía a una institución financiera y modificaba las credenciales de la propiedad de una gran empresa. La información fue modificada para nombrar una cibermula como accionista de la empresa.
“Los ataques a las instituciones financieras descubiertas en 2015 indican una tendencia preocupante de los ciberdelincuentes que utilizan ataques de tipo APT. La banda Carbanak fue sólo el primero de muchos: los cibercriminales han aprendido muy rápido a utilizar nuevas técnicas en sus operaciones y hacen blanco directo en los bancos. Su lógica es simple: ahí es donde está el dinero”, advierte Sergey Golovanov.
