Rivelato il codice sorgente di Carbanak: e adesso?

29 Apr 2019

Ultimamente sui media si è parlato molto di Carbanak. I ricercatori di sicurezza hanno trovato il codice sorgente del famoso malware sul portale aperto VirusTotal. Carbanak è conosciuto per essere stato la cyberminaccia finanziaria che ha ottenuto più risultati fino a oggi, per un totale di perdite economiche da ben un miliardo di dollari.

Carbanak: ricapitoliamo

I nostri esperti hanno identificato e analizzato Carbanak per la prima volta nel 2014. Facendo delle indagini su vari incidenti di furto di contanti dai bancomat, hanno scoperto che questi incidenti erano collegati: si trattava di una campagna su scala internazionale che aveva lo scopo di rubare grandi somme di denaro da varie banche di tutto il mondo. Inizialmente, i nostri esperti hanno effettuato indagini solo nell’Europa orientale ma si sono presto imbattuti in altre vittime, stavolta negli Stati Uniti, in Germania e in Cina.

Come in molti altri attacchi, questa campagna è iniziata con lo spear phishing e, in questo caso, si trattava di e-mail ben congeniate contenenti allegati dannosi che installavano una back door basata sul malware Carberp. La back door consentiva di accedere all’intera rete dell’azienda obiettivo (in questo caso, le reti delle banche), compromettendo la sicurezza dei computer e dando la possibilità ai cybercriminali di appropriarsi di ingenti quantità di denaro.

I cybercriminali hanno avuto vari modi per arrivare ai soldi; in alcuni casi, hanno inviato istruzioni da remoto ai bancomat affinché dispensassero il contante, che poi veniva raccolto dai muli. In altri casi, i cybercriminali hanno utilizzato la rete SWIFT per trasferire il denaro direttamente sui loro conti. Nel 2014, queste tecniche non erano sfruttate tanto, per questo la portata di Carbanak e le tecnologie utilizzate hanno scosso sia il settore bancario, sia quello della cybersecurity.

Cosa ci riserva il futuro?

Dalla scoperta di Carbanak in poi, i nostri esperti hanno assistito a diversi attacchi (Silence, ad esempio), hanno provato a imitarne le tattiche e hanno rintracciato altri dettagli che facevano pensare allo stesso gruppo criminale, che era quindi rimasto sempre piuttosto attivo. Ora che il codice sorgente di Carbanak è di dominio pubblico, la frequenza di questi incidenti potrebbe aumentare considerevolmente: il codice è ora disponibile anche per quei cybercriminali che non hanno capacità di programmazione tali da produrre autonomamente un malware così complicato. Il ricercatore di Kaspersky Lab Sergey Golovanov ha studiato questo caso fin dall’inizio e ha qualcosa da dire al riguardo:

“Il fatto che il codice sorgente del famigerato malware Carbanak sia disponibile su un sito open source è un brutto segno. Di fatto, lo stesso malware Carbanak è stato creato inizialmente basandosi sul codice sorgente del malware Carberp, dopo che quest’ultimo era stato pubblicato online. Abbiamo varie ragioni per credere che questo scenario si ripeterà e che in futuro troveremo pericolose versioni modificate di Carbanak. La buona notizia è che, dalla rivelazione del codice di Carberp, il settore della cybersecurity si è evoluto in maniera significativa e adesso è possibile riconoscere facilmente il codice modificato. Invitiamo caldamente sia le aziende, sia gli utenti a proteggersi da queste e altre future minacce adottando una robusta soluzione di sicurezza”.

Come difendersi

Per proteggervi da minacce come Carbanak, vi consigliamo di adottare le seguenti misure:

  • Integrate i feed di Threat Intelligence all’interno del vostro SIEM e in altri sistemi di controllo della sicurezza per ricevere i dati più importanti e aggiornati sulle minacce e prepararvi in vista di attacchi futuri. Per proteggervi da minacce così avanzate, dovreste conoscerle o sapere cosa cercare, e i feed di threat intelligence vi forniranno le informazioni essenziali;
  • Implementate soluzioni EDR come Kaspersky Endpoint Detection and Response per l’identificazione, le indagini sugli endpoint e il pronto recupero dopo un incidente. Quando si identifica l’attività di un esemplare di malware come Carbanak, bisogna agire immediatamente e le soluzioni EDR possono dare una mano;
  • Implementate una soluzione di sicurezza a livello aziendale in grado di identificare le minacce avanzate nella rete fin dalle fasi iniziali, come Kaspersky Anti Targeted Attack Platform, oltre a adottare una protezione specifica per endpoint.