Gli esperti di Bitdefender hanno pubblicato un white paper in cui analizzano a fondo un attacco mirato perpetrato dal gruppo Carbanak contro una banca europea. I ricercatori hanno acquisito nuove informazioni dettagliate, creando una cronologia completa dell’evento dal momento in cui l’email di spear phishing ha raggiunto la casella di posta di un dipendente a quello della scoperta – mostrando il modo in cui Carbanak si infiltra all’interno delle aziende e si sposta all’interno dell’infrastruttura.
L’analisi forense di Bitdefender ha rivelato alcune tecniche di violazione fondamentali che fanno luce sul modus operandi del gruppo, sulle modalità di esecuzione dell’attività di ricognizione e di pianificazione della fase finale dell’attacco.
Nel giro di poche ore dalla violazione, il gruppo di criminali informatici ha iniziato a identificare i documenti essenziali e a prepararli per l’esfiltrazione, cercando di accedere ai bancomat e alle applicazioni di banking dell’organizzazione colpita.
Cosa ha rivelato l’attività di indagine condotta da Bitdefender?
- Una sequenza temporale completa dell’evento, dalla violazione iniziale al momento del furto
- La presenza degli strumenti di hacking Cobalt Strike punta il dito verso il gruppo di criminali informatici Carbanak
- Gli istituti di credito nell’Europa dell’Est rimangono l’obiettivo primario del gruppo criminale
- Sono state necessarie solo poche ore dalla violazione iniziale perché il gruppo di infiltrasse, consolidasse la presenza della minaccia e iniziasse a diffondersi in azienda
- Nella fase di ricognizione, sono stati acquisiti i dati relativi alle applicazioni bancarie e alle procedure interne e quindi preparati per l’esfiltrazione, per essere poi utilizzati nella fase finale dell’attacco
- L’attività di ricognizione dell’infrastruttura è stata condotta principalmente al di fuori dell’orario d’ufficio o durante i fine settimana
- L’obiettivo finale era la violazione delle reti Bancomat, per cercare di prelevare denaro dagli sportelli Bancomat in un’operazione criminale coordinata a livello fisico e contro l’infrastruttura.
