Bancos enfrentam três novos ciberataques: Carbanak 2.0, Metel e GCMAN


shadow
Partilhe esta notícia...Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPin on PinterestEmail this to someone

Um ano após a Kaspersky Lab ter alertado para a tendência de os cibercriminosos adotarem ferramentas e táticas de APTS apoiadas por estados e nações, com o objetivo de roubar instituições bancárias, a empresa confirma o regresso do Carbanak como Carbanak 2.0 e a descoberta de mais dois grupos de cibercriminosos com as mesmas características: Metel e GCMAN. Estes criminosos atacam organizações financeiras usando técnicas de reconhecimento de APTs e malware personalizado juntamente com software legítimo e novos esquemas concebidos especialmente para roubar dinheiro.

O grupo de cibercriminosos Metel tem muitos truques na manga, mas é particularmente interessante por causa do recurso a um esquema extremamente inteligente: para ganhar controlo sobre as máquinas existentes dentro de um banco que, por seu turno, têm acesso a transações de dinheiro (por exemplo, computadores de call center / apoio ao cliente do Banco) o grupo consegue automatizar a reversão de transações em ATMs.

A capacidade de reversão garante que o saldo em cartões de débito permanece o mesmo, independentemente do número de transações realizadas em ATMs. Nos exemplos observados até à data, o grupo criminoso rouba dinheiro enquanto viaja de carro por várias cidades na Rússia durante a noite, esvaziando máquinas ATM que pertencem a uma série de bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco atacado.

“Hoje em dia, a fase ativa de um ataque é cada vez mais curta. Quando os atacantes se tornam hábeis numa operação particular, demoram apenas alguns dias ou uma semana a conseguir o que pretendem e a fugir”, explica Sergey Golovanov, Investigador de Segurança Principal da Global Research & Analysis Team, da Kaspersky Lab.

 Durante a investigação forense, os peritos da Kaspersky Lab descobriram que os autores do Metel conseguem as suas infeções iniciais através de esquemas bem concebidos de spear-phishing, ou seja emails com anexos maliciosos, recorrendo ainda ao pacote de exploit Niteris, com vista a atacar vulnerabilidades existentes no browser das vítimas. Uma vez dentro da rede, os cibercriminosos usam software legítimo e ferramentas que lhes permitem deslocar-se lateralmente, sequestrando o controlador de domínio local e conseguindo, por fim, ganhar controlo sobre os computadores usados pelos empregados dos bancos responsáveis pelo processamento de pagamento de cartões.

O grupo Metel permanece ativo e a investigação à sua atividade continua. Até ao momento, não foram registados ataques for a da Rússia. No entanto, há motivos para suspeitar que a infeção está muito mais espalhada, e aconselham-se os bancos em todo o mundo a tomar medidas de precaução.

Todos os três grupos identificados estão a manifestar a tendência para usar malware em conjunto com software legítimo nas suas operações fraudulentas: porquê criar ferramentas personalizadas de malware quando podem usar utilitários legítimos, muitos mais eficazes e capazes de contornar mecanismos de defesa?

Mas em termos de capacidades de disfarce, o grupo GCMAN vai ainda mais longe: por vezes consegue atacar uma organização sem usar qualquer malware, executando apenas utilitários legítimos. Nos casos investigados pela Kaspersky Lab, o GCMAN usou ferramentas como Putty, VNC e Meterpreter para se movimentar pela rede até atingirem a máquina usada para transferir dinheiro para serviços de pagamento virtual sem alertar os sistemas de defesa dos bancos.

Num ataque observado pela Kaspersky Lab, os cibercriminosos permaneceram na rede por cerca de um ano e meio antes de realizar o golpe. O dinheiro era transferido em quantias máximas de duzentos dólares, o limite estabelecido na Rússia para se poderem fazer pagamentos anónimos. A cada minuto, a agenda do CRON lançava um script malicioso e uma nova quantia era transferida para uma conta virtual pertencente a uma “mula”. As ordens de transação eram enviadas diretamente para a gateway que processava os pagamentos no banco, não aparecendo nos sistemas internos.

E, por fim, o Carbanak 2.0 marca o reaparecimento da ameaça persistente (APT) Carbanak , com as mesmas ferramentas e técnicas mas com um perfil de vítima diferente e novas formas de sacar o dinheiro.

Agora, os alvos do Carbanak 2.0 não são apenas bancos, mas os departamentos financeiros e de orçamento de qualquer organização de interesse. E, num caso observado pela Kaspersky Lab, o Carbanak 2.0 acedeu a uma instituição financeira e alterou as credenciais de propriedade de uma companhia de grande dimensão. A informação foi modificada para nomear uma “mula” como sócia da companhia.

“Ataques a instituições financeiras descobertos em 2015 indicam uma tendência preocupante de os cibercriminosos lançarem agressivamente ataques de estilo APT. O gangue Carbanak foi apenas o primeiro de muitos: os cibercriminosos agora aprendem rapidamente como usar novas técnicas nas suas operações, e vemos mais a mudar de estilo de ataque, passando dos utilizadores diretamente para os bancos. A sua lógica é simples: é lá que está o dinheiro “, sublinha Sergey Golovanov. “E nós pretendemos mostrar como e a que portas, especificamente, os autores de ameaças podem bater para obter o seu dinheiro. Espero que depois de ouvirem mais sobre o que são os ataques GCMAN, os bancos e instituições financeiras procurem verificar como os servidores Web da sua operação bancária são protegidos; Já no caso do Carbanak, aconselhamos o banco a proteger melhor os dados que contêm informações sobre os proprietários das contas, não apenas os seus saldos”.

Author

Patricia Fonseca
Patricia Fonseca

Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

Deixar uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *