O alvo principal dos cibercriminosos são instituições financeiras e eles utilizam de malware oculto e personalizado, de reconhecimento no estilo das APTs, em conjunto com softwares legítimos e esquemas novos e inovadores para sacar dinheiro em caixa eletrônico. Outras duas ameaças foram detectadas pela companhia e utilizam o mesmo método de ataque: Metel e o GCMAN.
Golpe do cartão com saldo infinito
O grupo de criminosos virtuais Metel tem diversos truques em seu repertório, mas chama a atenção um esquema muito inteligente: eles tomam o controle de computadores do banco com acesso a transações financeiras (como os computadores da central de atendimento/suporte) e, assim, conseguem automatizar a reversão de transações em caixas eletrônicos.
Isso garante que saldos dos cartões de débito permaneçam inalterados, independentemente do número de transações realizadas em caixas eletrônicos. Nos casos observados até o momento, o grupo criminoso roubou valores percorrendo cidades da Rússia durante a noite e esvaziando os caixas eletrônicos de diversos bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco comprometido. Em apenas uma noite, conseguiram fazer as retiradas.
Durante a investigação da perícia, os especialistas da Kaspersky descobriram que os operadores do Metel conseguem realizar a infecção inicial por meio de e-mails de phishing criados especialmente com anexos maliciosos e do pacote de exploits Niteris, que visa vulnerabilidades no navegador da vítima.
Depois de entrar na rede, os criminosos virtuais usam ferramentas legítimas e de testes de penetração para se movimentar lateralmente, sequestrando o controlador de domínio local. Em seguida, localizam e obtêm o controle dos computadores usados pelos funcionários do banco responsáveis pelo processamento de cartões de pagamento.
O grupo Metel continua ativo, e estão em andamento investigações sobre suas atividades. Até agora não foram identificados ataques fora da Rússia. Mesmo assim, há motivos para suspeitar que a infecção já esteja muito mais disseminada, e os bancos de todo o mundo foram orientados a verificar infecções de forma proativa.
Porém, em termos de invisibilidade, o GCMAN vai além: às vezes, consegue atacar uma organização sem usar nenhum malware, executando apenas ferramentas legítimas e de testes de penetração.
Em um ataque observado pela Kaspersky, os criminosos virtuais permaneceram na rede por um ano e meio antes de efetivar o roubo. O dinheiro era transferido em somas de aproximadamente US$ 200, o limite máximo para pagamentos anônimos na Rússia. A cada minuto, o agendador CRON disparava um script malicioso e mais uma quantia era transferida para uma conta de dinheiro eletrônico pertencente a uma “mula” de dinheiro. As ordens de transação eram enviadas diretamente para a porta de pagamento posterior do banco, sem aparecer em qualquer ponto de seus sistemas internos.
Carbanak 2.0
E, por fim, o Carbanak 2.0 marca a reaparição da APT (ameaça persistente avançada) Carbanak, com as mesmas ferramentas e técnica, mas um perfil de vítimas diferente e maneiras inovadoras de retirar o dinheiro.
Em 2015, os alvos da ameaça não foram apenas bancos, mas também os departamentos de planejamento financeiro e contabilidade de organizações de interesse.
Em um exemplo observado pela Kaspersky , o grupo do Carbanak 2.0 acessou uma instituição financeira e começou a alterar as credenciais de propriedade de uma grande empresa. As informações foram modificadas para indicar uma “mula” de dinheiro como acionista da empresa, exibindo suas informações de identidade.
“Os ataques a instituições financeiras descobertos em 2015 indicam uma tendência preocupante dos criminosos virtuais de adotar agressivamente ataques no estilo das APTs. O grupo do Carbanak foi apenas o primeiro de muitos: os criminosos virtuais estão aprendendo rapidamente como usar novas técnicas em suas operações, e temos visto um número maior deles deixando de atacar usuários para visar diretamente os bancos. A lógica é simples: é ali que está o dinheiro”, adverte Sergey Golovanov, pesquisador principal de segurança da Kaspersky.