Europol poinformował o ujęciu w Hiszpanii lidera cybergangu odpowiedzialnego za ataki na ponad 100 instytucji finansowych z całego świata z użyciem szkodliwego oprogramowania Carbanak oraz Cobalt. Grupa cyberprzestępcza Carbanak została wykryta w 2015 r. przez Kaspersky Lab we współpracy z Interpolem, Europolem i szeregiem innych organów ścigania.
Wydarzenie skomentował Siergiej Golowanow, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab, zaangażowany w analizę organizacji Carbanak.
Niedawny sukces organów ścigania w walce z grupą cyberprzestępczą Carbanak to świetna wiadomość dla całej branży. Po raz kolejny widzimy, że wymiana informacji między krajami to bardzo ważny czynnik w walce z zaawansowaną cyberprzestępczością.
Carbanak to zaawansowana kampania cyberprzestępcza (APT), w ramach której stosowano narzędzia pozwalające na przeprowadzanie ataków ukierunkowanych na instytucje finansowe na całym świecie. Głównym celem atakujących była kradzież pieniędzy.
Operacja została wykryta w 2015 r. przez Kaspersky Lab we współpracy z Interpolem, Europolem i innymi organami ścigania. Wszystko zaczęło się od incydentu z 2013 r., gdy grupa korzystała z szeregu narzędzi, łącznie z programem o nazwie Carbanak. Po publikacji swojego odkrycia przez Kaspersky Lab w 2015 r. grupa zaadoptowała swoje narzędzia i zaczęła stosować m.in. szkodliwe oprogramowanie Cobalt.
Grupa stosowała elementy socjotechniki, takie jak wiadomości phishingowe z zainfekowanymi załącznikami (np. dokumenty Worda z osadzonymi szkodliwymi narzędziami wykorzystującymi luki w zabezpieczeniach) w celu atakowania pracowników instytucji finansowych. Gdy ofiara została zainfekowana, atakujący instalowali tylną furtkę zaprojektowaną z myślą o działaniach szpiegowskich, kradzieży danych i zdalnym zarządzaniu zarażonym systemem. Grupa interesowała się przede wszystkim systemami obsługującymi transakcje finansowe.
W momencie wykrycia grupy Carbanak badacze z Kaspersky Lab oszacowali, że atakujący ukradli nawet miliard dolarów. Od 2013 roku gang zaatakował ponad sto banków, systemów e-płatności i innych instytucji finansowych w przynajmniej 30 krajach w Europie, Azji, Ameryce Północnej i Południowej, a także w innych regionach.
W 2016 roku — w oparciu o szczegółową analizę grupy Carbanak — badacze z Kaspersky Lab odkryli dwa cybergangi działające w bardzo podobny sposób: Metel oraz GCMAN. Atakowały one organizacje finansowe, przeprowadzając szczegółowy rekonesans i stosując odpowiednio przygotowane szkodliwe oprogramowanie, legalne aplikacje oraz innowacyjne mechanizmy wypłacania pieniędzy. Techniki, taktyki i procedury zbliżone do tych stosowanych przez grupę Carbanak były później stosowane także przez inne cybergangi, takie jak Lazarus i Silence.
Biorąc pod uwagę międzynarodową skalę ataków grupy Carbanak, uważamy, że w szkodliwe działania było zaangażowanych kilkadziesiąt osób. Ślady wykryte w szkodliwych plikach i komputerach ofiar sugerują, że osoby stojące za tą kampanią płynnie posługują się językiem rosyjskim.