Connect with us

Software

Bancos enfrentam três novos ciberataques: Carbanak 2.0, Metel e GCMAN

Patricia Fonseca

Publicado a

Um ano após a Kaspersky Lab ter alertado para a tendência de os cibercriminosos adotarem ferramentas e táticas de APTS apoiadas por estados e nações, com o objetivo de roubar instituições bancárias, a empresa confirma o regresso do Carbanak como Carbanak 2.0 e a descoberta de mais dois grupos de cibercriminosos com as mesmas características: Metel e GCMAN. Estes criminosos atacam organizações financeiras usando técnicas de reconhecimento de APTs e malware personalizado juntamente com software legítimo e novos esquemas concebidos especialmente para roubar dinheiro.

O grupo de cibercriminosos Metel tem muitos truques na manga, mas é particularmente interessante por causa do recurso a um esquema extremamente inteligente: para ganhar controlo sobre as máquinas existentes dentro de um banco que, por seu turno, têm acesso a transações de dinheiro (por exemplo, computadores de call center / apoio ao cliente do Banco) o grupo consegue automatizar a reversão de transações em ATMs.

A capacidade de reversão garante que o saldo em cartões de débito permanece o mesmo, independentemente do número de transações realizadas em ATMs. Nos exemplos observados até à data, o grupo criminoso rouba dinheiro enquanto viaja de carro por várias cidades na Rússia durante a noite, esvaziando máquinas ATM que pertencem a uma série de bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco atacado.

“Hoje em dia, a fase ativa de um ataque é cada vez mais curta. Quando os atacantes se tornam hábeis numa operação particular, demoram apenas alguns dias ou uma semana a conseguir o que pretendem e a fugir”, explica Sergey Golovanov, Investigador de Segurança Principal da Global Research & Analysis Team, da Kaspersky Lab.

 Durante a investigação forense, os peritos da Kaspersky Lab descobriram que os autores do Metel conseguem as suas infeções iniciais através de esquemas bem concebidos de spear-phishing, ou seja emails com anexos maliciosos, recorrendo ainda ao pacote de exploit Niteris, com vista a atacar vulnerabilidades existentes no browser das vítimas. Uma vez dentro da rede, os cibercriminosos usam software legítimo e ferramentas que lhes permitem deslocar-se lateralmente, sequestrando o controlador de domínio local e conseguindo, por fim, ganhar controlo sobre os computadores usados pelos empregados dos bancos responsáveis pelo processamento de pagamento de cartões.

O grupo Metel permanece ativo e a investigação à sua atividade continua. Até ao momento, não foram registados ataques for a da Rússia. No entanto, há motivos para suspeitar que a infeção está muito mais espalhada, e aconselham-se os bancos em todo o mundo a tomar medidas de precaução.

Todos os três grupos identificados estão a manifestar a tendência para usar malware em conjunto com software legítimo nas suas operações fraudulentas: porquê criar ferramentas personalizadas de malware quando podem usar utilitários legítimos, muitos mais eficazes e capazes de contornar mecanismos de defesa?

Mas em termos de capacidades de disfarce, o grupo GCMAN vai ainda mais longe: por vezes consegue atacar uma organização sem usar qualquer malware, executando apenas utilitários legítimos. Nos casos investigados pela Kaspersky Lab, o GCMAN usou ferramentas como Putty, VNC e Meterpreter para se movimentar pela rede até atingirem a máquina usada para transferir dinheiro para serviços de pagamento virtual sem alertar os sistemas de defesa dos bancos.

Num ataque observado pela Kaspersky Lab, os cibercriminosos permaneceram na rede por cerca de um ano e meio antes de realizar o golpe. O dinheiro era transferido em quantias máximas de duzentos dólares, o limite estabelecido na Rússia para se poderem fazer pagamentos anónimos. A cada minuto, a agenda do CRON lançava um script malicioso e uma nova quantia era transferida para uma conta virtual pertencente a uma “mula”. As ordens de transação eram enviadas diretamente para a gateway que processava os pagamentos no banco, não aparecendo nos sistemas internos.

E, por fim, o Carbanak 2.0 marca o reaparecimento da ameaça persistente (APT) Carbanak , com as mesmas ferramentas e técnicas mas com um perfil de vítima diferente e novas formas de sacar o dinheiro.

Agora, os alvos do Carbanak 2.0 não são apenas bancos, mas os departamentos financeiros e de orçamento de qualquer organização de interesse. E, num caso observado pela Kaspersky Lab, o Carbanak 2.0 acedeu a uma instituição financeira e alterou as credenciais de propriedade de uma companhia de grande dimensão. A informação foi modificada para nomear uma “mula” como sócia da companhia.

“Ataques a instituições financeiras descobertos em 2015 indicam uma tendência preocupante de os cibercriminosos lançarem agressivamente ataques de estilo APT. O gangue Carbanak foi apenas o primeiro de muitos: os cibercriminosos agora aprendem rapidamente como usar novas técnicas nas suas operações, e vemos mais a mudar de estilo de ataque, passando dos utilizadores diretamente para os bancos. A sua lógica é simples: é lá que está o dinheiro “, sublinha Sergey Golovanov. “E nós pretendemos mostrar como e a que portas, especificamente, os autores de ameaças podem bater para obter o seu dinheiro. Espero que depois de ouvirem mais sobre o que são os ataques GCMAN, os bancos e instituições financeiras procurem verificar como os servidores Web da sua operação bancária são protegidos; Já no caso do Carbanak, aconselhamos o banco a proteger melhor os dados que contêm informações sobre os proprietários das contas, não apenas os seus saldos”.

Viciada em tecnologia, entrou para a equipa em 2012 e é responsável pela Leak Business, função que acumula com a de editora da Leak. Não dispensa o telemóvel nem o iPod e não consegue ficar sem experimentar nenhum dispositivo tecnológico.

Clique para comentar

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Publicidade

Últimas Notícias

Notícias17 horas atrás

Phone House é a mais recente Empresa aderente Cashback World Portugal

A partir de agora, os membros Cashback World poderão usufruir de benefícios exclusivos na compra de qualquer produto de telecomunicação,...

Notícias2 dias atrás

IMBS atinge os dois milhões em faturação

A IMBS, atinge os 2 milhões de euros em faturação desde que iniciou a sua atividade e pretende alcançar pela...

Passaporte2 dias atrás

Tiago Roxo é o novo Diretor de People & Culture do grupo InnoWave

Tiago Roxo é o novo Diretor da área People & Culture do grupo InnoWave. Com mais de 14 anos de...

Notícias2 dias atrás

NEC e NICT utilizam IA para otimizar a disponibilização de recursos de rede

A NEC anunciou a demonstração bem-sucedida de tecnologias que utilizam IA para classificar automaticamente serviços, como por exemplo vídeo e...

Notícias2 dias atrás

IBM C-Suite Study: Incumbentes estão a liderar nova vaga de disrupção digital

Decorreu ontem, no convento do Beato, o Think Lisboa 2018, a grande conferência anual da IBM, este ano dedicada à...

Notícias7 dias atrás

Fujitsu Concentra-se no Impacto Social e Ético da IA no Fórum AI4People

Os Fujitsu Laboratories of Europe tornaram-se um dos parceiros fundadores do recente projecto AI4People, o primeiro fórum global da Europa...

Notícias7 dias atrás

PRIMAVERA vai formar programadores informáticos

A PRIMAVERA Academy tem vindo a ampliar o seu portefólio formativo, passando em breve a integrar cursos de Programação, Metodologias...

Notícias7 dias atrás

IBM anuncia uma grande expansão das capacidades de Cloud

A IBM anunciou na CEBIT, a decorrer esta semana em Hannover, uma grande expansão das suas capacidades de Cloud com...