SAS 2016: Cibercriminosos roubam milhões de bancos

Em 2015, vimos a ascensão de cibercriminosos autores de ciberataques relacionados a bancos. Diversos grupos dominaram técnicas e ferramentas de APT, colocando as mãos no dinheiro de pelo menos 29

Em 2015, vimos a ascensão de cibercriminosos autores de ciberataques relacionados a bancos. Diversos grupos dominaram técnicas e ferramentas de APT, colocando as mãos no dinheiro de pelo menos 29 grandes bancos russos.

As vítimas pediram ajuda da Kaspersky Lab, e nossa equipe de Análise e Pesquisa Global foi ao trabalho. A investigação revelou que três grupos de hackers infligiram diversos milhões em dano financeiro aos bancos. Na conferência de analistas de segurança de 2016, a SAS 2016, o GReAT apresentou um relatório da investigação. Por motivos de segurança, os nomes das vítimas não foram revelados.

Arma apontada para os ATMs
Um banking Trojan com o nome melódico de Metel (também conhecido como Corkow) foi inicialmente descoberto em 2011: naquele momento, o malware estava caçando usuários de sistemas de banco online. Em 2015, os criminosos por trás do Metel miraram nos bancos, especificamente nos terminais de autoatendimento. Utilizando sua campanha maliciosa, tornaram seu crédito comum em ilimitado. Imagine dinheiro impresso, mas melhor ainda.

Como fizeram isso?
Os criminosos infectaram computadores de funcionários de bancos sucessivamente com o auxílio de e-mails de spear phishing, que incluem arquivos executáveis maliciosos, ou por meio de vulnerabilidades do navegador.

Uma vez dentro da rede, usaram softwares legítimos para hackear outros PCs até que alcançaram os dispositivos que estavam procurando – aquele com acesso às transações monetárias. Por exemplo, o alvo eram os computadores de operadores de call centers ou da equipe de suporte.

Como resultado, cada vez que um cibercriminoso sacava dinheiro do cartão de um banco comprometido no ATM de um outro banco, sistemas infectados automaticamente voltavam a transação. É por isso que o saldo nas contas se mantinha o mesmo, permitindo que os cibercriminosos sacassem dinheiro até o limite do caixa eletrônico. Os criminosos fizeram retiradas similares em diferentes terminais de autoatendimento.

Até onde sabemos, a gangue é relativamente pequena e consiste, no máximo, em dez pessoas. Parte do time fala russo e não detectamos infecções fora da Rússia. Os hackers ainda estão ativos e procurando por novas vítimas.

Criminosos ardilosos
Criminosos do grupo GCMAN implantaram uma operação similar, mas no lugar de tirar dinheiro de caixas, transferiram para serviços de pagamentos online.

Para entrar na rede, os membros do GCMAN usaram e-mails de spear phishing com anexos maliciosos. Eles penetraram os dispositivos do RH e contadores, daí esperaram até que os administradores dos sistemas fizessem o login. Algumas vezes, espalharam o processo travando o Microsoft Word ou 1C (soft de contabilidade popular na Rússia). No momento em que o usuário pede ajuda e o administrador vai resolver o problema, o criminoso rouba a senha.

A partir disso, membros do GCMAN viajavam pelas redes corporativas dos bancos até que encontrassem dispositivos que pudessem, silenciosamente, transferir dinheiro para diferentes serviços de pagamentos online. Em algumas organizações, o fizeram com o auxílio de softwares legítimos e ferramentas de teste de infiltração, como Putty, VNC e Meterpreter.

Essas transações feitas com um cron script, que automaticamente transferiam pequenas somas a cada minuto. Isso em uma média de 200 dólares por vez, limite para transações anônimas na Rússia. É notável que os ladrões foram bem cuidadosos. Em um caso, permaneceram quietos na rede por um ano e meio, hackeando furtivamente diversos dispositivos e contas.

Até onde se sabe, acreditamos que o grupo GCMAN seja bem pequeno e inclui apenas um ou dois membros, que falam russo.

O retorno do Carbanak
O grupo Carbanak age desde 2013. Ocasionalmente desaparecem e voltam com um novo plano de ciberataque. Recentemente, o perfil das vítimas do Carbanak aumentou. Agora, visa departamentos financeiros de qualquer empresa de interesse, não só bancos. Esse grupo já roubou milhões de empresas diferentes ao redor do mundo.

Para hackear e roubar, usam métodos e ferramentas parecidos com APTs típicos. Campanhas de spear phishing permitem a infecção inicial de redes corporativas: um funcionário enganado abre um e-mail, com um anexo que instala o malware desenvolvido pelo Carbanank.

http://twitter.com/kaspersky/status/567359162536194048/photo/1

Uma vez que os computadores estão comprometidos, os criminosos buscam acesso a uma conta de administrador, usando as credenciais roubadas para hackear o controlador do domínio e roubar dinheiro de contas bancárias, ou até alterar dados sobre os donos das empresas.

Até onde sabemos, o Carbanak é um grupo informacional, que inclui criminosos da Rússia, China, Ucrânia e outros países europeus. A gangue consiste em dezenas de pessoas. Você pode saber mais sobre os cibercriminosos neste post.

Sou bancário. O que devo fazer?
Se você trabalha em uma organização financeira, você tem que ficar atento. Como já ficou claro com os exemplos acima, um dia você pode acabar sendo aquele funcionário que convida um cibercriminoso para dentro do escritório. E aposto que você não quer nem pensar no que aconteceria se você for essa pessoa. Para evitar isso, indicamos os seguintes artigos:
Porque phishing funciona e como evitá-lo
Porque é necessário atualizar programas
Como não se tornar vítima de um Trojan

Como conclusão, gostaríamos de ressaltar que as soluções da Kaspersky Lab detectam e desarmam todos os malwares conhecidos criados pela Carbanak, Metel e GCMAN.

Dicas