Vazamento do código-fonte do Carbanak: o que acontecerá agora?

3 maio 2019

Recentemente, o Carbanak voltou ao noticiário, pois especialistas em segurança encontraram o código-fonte desse famoso malware no portal VirusTotal. Até hoje, o Carbanak é considerado como a ciberameaça financeira mais bem-sucedida, responsável por perdas de até U$ 1 bilhão.

A história do Carbanak

Nossos especialistas descobriram e analisaram o ​​Carbanak pela primeira vez em 2014. Eles começaram com a investigação de roubos de dinheiro em caixas eletrônicos, mas logo encontraram evidências que estes incidentes estavam relacionados e faziam parte de uma grande campanha internacional que visava roubar montantes bem maiores de vários bancos do mundo. Inicialmente, nossos especialistas investigaram apenas incidentes na Europa Oriental, mas logo acharam mais vítimas nos Estados Unidos, na Alemanha e na China.

Como muitos outros ataques, esta campanha começou com spear phishing. Neste caso, foi uma série de e-mails dirigidos e armados com anexos maliciosos que instalaram uma backdoor com a base do malware Carberp. Essa espécie de porta de entrada deu acesso à rede da organização, neste caso, dos bancos, e comprometeu os computadores que poderiam oferecer às condições aos cibercriminosos de roubar o dinheiro.

Os criminosos chegaram ao dinheiro de maneiras diferentes. Em alguns casos, eles davam instruções remotas aos caixas eletrônicos para “liberar” dinheiro que as “mulas” recolhiam mais tarde. Em outros, eles usaram a rede SWIFT para transferir dinheiro diretamente para suas contas. Até 2014, esse tipo de método era inédito, nunca havia sido usado para este fim, de modo que a escala e as tecnologias usadas pelo Carbanak abalaram o setor bancário e da cibersegurança.

O que esperar no futuro?

Após a descoberta do Carbanak, nossos especialistas testemunharam vários ataques (Silence, por exemplo) que tentaram táticas semelhantes e rastrearam outros sinais do mesmo grupo criminoso, que ainda estava bastante ativo. Mas agora que o código-fonte do Carbanak foi divulgado ao público, esse tipo de incidente pode se tornar cada vez mais frequente, porque está disponível para os cibercriminosos que não possuem o conhecimento de codificação necessário para produzir esse malware complexo. O especialista da Kaspersky Lab Sergey Golovanov, que investigou este caso desde o início, tem algo a dizer sobre isso:

“O fato de o código-fonte do famoso malware Carbanak estar disponível em um site de código aberto é um mau presságio. Na verdade, o Carbanak foi desenvolvido com o código-fonte do malware Carberp após sua publicação online. Temos razões para acreditar que esta situação se repetirá e que veremos modificações mais perigosas no futuro. A boa notícia é que, desde o vazamento do Carberp, a indústria de segurança cibernética evoluiu significativamente e o código modificado agora pode ser facilmente detectado. Por isso, incentivamos empresas e usuários individuais a se protegerem contra essas ameaças e contra aquelas que ainda nem existem por meio de uma solução de segurança confiável. ”

Mantenha-se a salvo

Para se proteger contra ameaças como o Carbanak, recomendamos que você implemente as seguintes sugestões:

  • Integre fontes de inteligência contra ameaças em seu SIEM e outros controles de segurança para acessar os dados sobre ciberameaças mais relevantes e atualizados e prepará-lo contra futuros ataques. Para se proteger contra esses tipos de ameaças avançadas, é melhor conhecê-las e saber o que você precisa procurar, e são precisamente as fontes de inteligência que fornecem insumos e insights importantes para sua proteção.
  • Implemente soluções de EDR, como o Kaspersky Endpoint Detection e Response, para monitoramento, investigação e correção de incidentes de endpoint em tempo hábil. Detectar uma atividade semelhante ao Carbanak em um endpoint requer uma reação imediata, e é aí que as soluções de EDR podem ajudá-lo.
  • Implemente uma solução de segurança para empresas que detectam ameaças avançadas na rede em fase inicial, como o Kaspersky Anti Targeted Attack Platform, além de adotar uma proteção para endpoints.