Η Carbanak, η cybercriminal ομάδα που έκλεψε περισσότερα από $1 δισεκατομμύριο από 100 τράπεζες σε 30 χώρες το 2013 και το 2014, έχουν εντοπιστεί εκ νέου και αυτή τη φορά και οι ερευνητές ασφαλείας λένε ότι έχουν ανιχνεύσει την ομάδα στα πρώτα στάδια επίθεσή της.
Τον Φεβρουάριο του 2015, ο κόσμος σοκαρίστηκε όταν διαπίστωσε ότι εγκληματίες του κυβερνοχώρου κατάφεραν να κλέψουν πάνω από $1 δις από τόσες πολλές τράπεζες μέσα σε σχεδόν δύο χρόνια, χωρίς να εντοπιστούν.
Χρησιμοποιώντας προηγμένες infiltration και exfiltration τεχνικές, η Carbanak λειτουργεί στις σκιές, χρησιμοποιώντας τα Anunak και Carberp malwares για να μολύνει και στη συνέχεια να κλέψει χρήματα από τράπεζες σε όλο τον κόσμο, με την πλειοψηφία των να βρίσκεται στη Ρωσία.
Η ομάδα έκανε ένα διάλειμμα αφότου οι ερευνητές ασφαλείας την εκτόπισε τον Φεβρουάριο του 2015, αλλά το περασμένο φθινόπωρο, και αργότερα, τον Φεβρουάριο του τρέχοντος έτους, η ομάδα επέστρεψε με νέες επιθέσεις, αλλά αυτή τη φορά με στόχο τα χρηματοπιστωτικά ιδρύματα και τα οικονομικά τμήματα των πολυεθνικών εταιρειών.
Τώρα, η εταιρεία ασφαλείας Proofpoint λέει ότι ανίχνευσε ένα νέο κύμα spear-phishing εκστρατείας που ωθούν ορισμένα κακόβουλα λογισμικά της Carbanak, μαζί με μια νέα απειλή.
Αυτές οι spear-phishing εκστρατείες που απευθύνονται σε στελέχη υψηλού επιπέδου σε τράπεζες που βρίσκονται σε 18 χώρες, με τις περισσότερες επιθέσεις να γίνονται στις ΗΠΑ, το Ομάν, την Αυστραλία, το Κουβέιτ και τα Ηνωμένα Αραβικά Εμιράτα.
«Η ομάδα επέκτεινε και τους στόχους της από χρηματοπιστωτικά ιδρύματα σε φαινομενικά άσχετες στόχους σχετικά με τη φωτιά, την ασφάλεια και στον κλιματισμό», σημείωσαν εμπειρογνώμονες του Proofpoint. «Ωστόσο, όπως μάθαμε από την παραβίαση δεδομένων του Target, μεταξύ άλλων, πωλητές και προμηθευτές μπορούν να δώσουν στους επιτιθέμενους ένα σημείο εισόδου στον πραγματικό τους στόχο.»
Τα spear-phishing emails έρχονται boobytrapped με έγγραφα του Word που, όταν ανοίξουν, αξιοποιούν την CVE-2015-2545 ευπάθεια του Microsoft Office για να μολύνουν τον υπολογιστή του στόχου με κακόβουλο λογισμικό.
Όπως εξηγεί το Proofpoint, η ομάδα έχει αναπτύξει νέα malware. Αυτή η νέα απειλή έχει χαρακτηριστεί ως Spy.Sekur, ένα απομακρυσμένης πρόσβαση Trojan (RAT- Remote Access Trojan), που χρησιμοποιείται για να ανοίξει κερκόπορτες σε μολυσμένες θέσεις εργασίας.
Εκτός το Spy.Sekur, οι ερευνητές ασφαλείας λένε επίσης ότι η Carbanak έχει αναπτύξει και άλλα, πιο γνωστά RATs, όπως τα DarkComet, jRAT και MorphineRAT.
Επειδή οι spear-phishing εκστρατείες είναι συνήθως το πρώτο στάδιο οποιασδήποτε κυβερνο-εγκληματικής εκστρατείας, φαίνεται ότι το Proofpoint έπιασε την Carbanak επ’ αυτοφώρω, ακριβώς στη μέση του ενός νέου κύματος επιθέσεων.
