O Golpe do Século

16 fev 2015

Ameaças Persistentes Avançadas, ou APTs, são um assunto para especialistas em Segurança da Informação, pois tais ataques geralmente empregam as ferramentas hacker mais sofisticadas. No entanto, para a grande maioria das pessoas tais ameaças não têm interesse algum.

Para o público em geral, alguns dos ataques mais amplamente divulgados parecem coisa de ficção. Até recentemente, as APTs não foram um problema -pois a maioria teve como alvos organizações governamentais, com os detalhes das investigações sendo altamente confidenciais e o real efeito econômico difícil de avaliar, por razões óbvias.

No entanto, as coisas estão prestes a mudar: as APTs inauguraram sua presença no setor privado, ou, para ser mais exato, no bancário. Os resultados são bastante fáceis de avaliar: a perda devido a uma campanha que teve como alvo de dezenas de instituições financeiras globais totalizou US$ 1 bilhão.

O vetor de ataque
Para se infiltrar na intranet do banco, os atacantes utilizaram e-mails direcionados (spear phishing) – atraindo os usuários a abri-lo e infectando máquinas com malware. Uma backdoor, baseada no código malicioso Carberp, foi instalada no PC da vítima -daí vem o nome da campanha: Carbanak.

A perda devido a uma campanha APT que atingiu dezenas de instituições financeiras globais chegou a US$ 1 bilhão

Depois de obter o controle sobre a máquina comprometida, os cibercriminosos usaram-na como um ponto de entrada; investigaram a intranet do banco e infectaram outros PCs para descobrir qual deles poderia ser usado para acessar sistemas financeiros críticos.

Os criminosos então estudaram os instrumentos financeiros utilizados pelos bancos, utilizando keyloggers (malware que registra a digitação) e vírus que capturam a imagem de tela.

Então, para completar o esquema, os hackers furtaram os fundos, definindo os métodos mais convenientes -via transferência SWIFT ou a criação de contas bancárias falsas com saques feitos por “mulas” ou por meio de um comando remoto para um caixa eletrônico.

Em média, foram necessários de dois a quatro meses para completar o golpe em cada banco vítima, começando do dia 1 de infecção até a retirada do dinheiro.

Perda estimada
Os hackers sacaram de cada banco de US$ 2,5 milhões a US$ 10 milhões – a quantidade parece impressionante, mesmo quando individualmente. Considerando-se que dezenas -até uma centena- de organizações perderam seus fundos devido ao ataque, o desfalque pode ter chegado à impressionante cifra de US$ 1 bilhão.

Os países que sofreram perdas graves devido ao ataque incluem Rússia, EUA, Alemanha, China e Ucrânia. Atualmente, a operação Carbanak está expandindo suas operações para na Malásia, Nepal, Kuwait e vários países africanos.

Com base nas informações da Kasperky Lab, as primeiras amostras de malware usadas na Carbanak foram criadas em agosto de 2013. Os primeiros casos de infecção datam de dezembro de 2013. O primeiro desvio bem sucedido foi registrado entre fevereiro e abril de 2014, com o pico de ataques em junho de 2014.

Aparentemente, os atacantes não vão ai parar até que sejam pegos. Atualmente, vários centros de defesa cibernética nacionais e organizações internacionais, incluindo Europol e Interpol, estão envolvidos na investigação. A Equipe Global de Pesquisa e Análise da Kaspersky (GReAT) também se juntou ao esforço.

Como se proteger desta ameaça?
Agora, uma boa notícia para nossos clientes:

  • Todos os produtos corporativos da Kaspersky Lab detectam amostras conhecidas de malware Carbanak como Backdoor.Win32.Carbanak e Backdoor.Win32.CarbanakCmd.
  • A fim de se certificar que seu nível de defesa mantém-se elevado, recomendamos ativar o módulo de proteção pró-ativa, que está incluído em todas as versões de nossos produtos.

Além disso, temos algumas dicas para proteger-se contra esta e outras ameaças:

  • Nunca abra e-mails suspeitos, especialmente aqueles com um anexo.
  • Atualize regularmente o software que você usa. Por exemplo, este muito campanha não emprega vulnerabilidades de 0-day (desconhecidas), mas usa bugs conhecidos, previamente corrigidos pelos fornecedores.
  • Ative a detecção heurística em seu antivírus: isso vai aumentar as chances de detecção precoce de uma amostra de malware.

Você pode encontrar mais informações sobre a campanha Carbanak no SecureList.