O Carbanak é uma campanha de tipo APT (Advanced Persistent Threat – Ameaça Avançada Persistente). Foi descoberto em 2015 pela Kaspersky Lab em parceria com a INTERPOL, Europol e várias outras agências policiais com base num incidente que remonta a 2013, altura em que o grupo utilizava uma gama de ferramentas que incluía um programa de nome Carbanak.
Após a publicação das descobertas da Kaspersky Lab em 2015, o grupo adaptou as suas ferramentas, tendo começado a utilizar o malware Cobalt-strike, tendo alterado também os nomes e infraestruturas dos seus servidores.
O grupo utiliza técnicas de engenharia social, como emails de phishing com anexos maliciosos (por exemplo, documentos Word com exploits incluídos), direccionados a colaboradores de instituições financeiras.
Assim que a vítima for infectada, os hackers instalam um backdoor desenvolvido para espionagem, roubo de dados e gestão remota de sistemas infectados, procurando os sistemas de transacções financeiras.
Aquando da descoberta, os investigadores da Kaspersky Lab estimaram que o grupo Carbanak tinha roubado cerca de mil milhões de dólares. Desde 2013, o grupo atacou mais de 100 entidades, desde bancos, sistemas de e-payment e outras organizações financeiras, em mais de 30 países na Europa, Ásia, América do Norte e do Sul, e outras regiões.
Com base na investigação ao Carbanak, em 2016, a Kaspersky Lab descobriu dois grupos que agiam de forma muito semelhante a este – o Metel e o GCMAN. Ambos atacavam organizações financeiras utilizando reconhecimento de tipo APT e distribuindo malware personalizado juntamente com software legítimo, além de novos métodos de roubo. Outros grupos também implementarem técnicas, tácticas e procedimentos semelhantes ao Carbanak, como o Lazarus e o Silence.
Tendo em conta a escala internacional das actividades destes actores, a Kaspersky Lab acredita que existam dezenas de indivíduos envolvidos nesta actividade cibercriminosa.
As provas descobertas nos ficheiros maliciosos e nos computadores das vítimas sugerem que os criadores do Carbanak falam russo, apesar de, para levarem a cabo actividades cibercriminosas em cada país, o grupo procurava, normalmente, um falante nativo.
Via Kaspersky Lab.
