Il recente successo nella lotta contro il gruppo cyber criminale Carbanak sottolinea l’importanza dello scambio di informazioni tra Paesi nel contrasto alla criminalità informatica.
Il leader di Carbanak, infatti, sarebbe stato arrestato il 6 marzo ad Alicante: lo afferma il recente comunicato dell’Europol – agenzia dell’UE per il contrasto alla criminalità organizzata e al terrorismo. La notizia dell’operazione di polizia è stata divulgata solo poche ore fa dall’Europol e dal ministro dell’Interno spagnolo, Juan Ignacio Zoido. Si tratta di un ucraino di 34 anni, residente nel Paese iberico dal 2014 insieme a moglie e figlia.
Carbanak è una campagna in stile Advanced Persistent Threat (APT) che colpisce istituzioni finanziarie di tutto il mondo, principalmente a scopo di furto, attraverso tool per attacchi mirati.
Il gruppo criminale è stato scoperto nel 2015 da INTERPOL, Europol e altre forze dell’ordine grazie all’analisi di un incidente avvenuto nel 2013: il gruppo utilizzava allora diversi tool, tra cui un programma chiamato Carbanak. Dopo la pubblicazione delle scoperte, il gruppo ha cambiato nomi e infrastruttura dei suoi server, e ha adottato tool differenti: in particolare, un malware basato su Cobalt Strike.
Il gruppo Carbanak prende di mira i dipendenti delle sue vittime, istituzioni finanziarie considerate interessanti, attraverso tecniche di social engineering, come ad esempio email di phishing con allegati nocivi, spesso documenti Office che contengono exploit. Una volta portata a termine l’infezione, i cyber criminali colpiscono i sistemi per le transazioni finanziarie installando una backdoor per lo spionaggio, il furto di dati e la gestione da remoto del sistema infettato.
A partire dal 2013, quando il gruppo ha cominciato la sua attività, sono state colpite più di 100 banche, sistemi di ePayment e altre organizzazioni finanziarie in almeno 30 Paesi, rubando miliardi di dollari: al momento della scoperta, due anni dopo, i ricercatori stimarono che il gruppo avesse rubato circa un miliardo di dollari.
Grazie a questa indagine, sono stati scoperti nel 2016 due gruppi che agivano in modo simile: Metel e GCMAN. Questi ultimi attaccavano organizzazioni finanziarie usando sia malware di ricognizione personalizzati in stile APT, che software legittimi e nuovi schemi di monetizzazione. Altri gruppi hanno elaborato e messo in pratica tattiche e procedure simili a quelle di Carbanak, come ad esempio Lazarus e Silence.
“Considerata la portata internazionale delle attività di questo gruppo, crediamo che le persone coinvolte nelle sue attività cyber criminali siano numerose. Alcuni artefatti scoperti nei file nocivi e nei computer delle vittime suggeriscono che i creatori del malware Carbanak siano di lingua russa. Tuttavia, per condurre le attività criminali in ogni Paese, il gruppo sembra essersi inoltre affidato a madrelingua” ha commentato Sergey Golovanov, Principal Security Researcher del Global Research & Analysis Team di Kaspersky Lab
