Una decina di banche perdono milioni a causa di attacchi informatici

Nel 2015 abbiamo assistito al numerosi casi in cui i cybercriminali hanno derubato direttamente le banche. Come avvengono questi attacchi?

Nel 2015 abbiamo assistito al numerosi casi in cui i cybercriminali hanno derubato direttamente le banche, non i clienti. Molti gruppi criminali sono diventati dei veri esperti nelle tecniche di attacco nei confronti degli sportelli bancomat, molti dei quali sono riusciti a entrare nei sistemi di ventinove importanti banche russe.

Le vittime hanno richiesto l’assistenza di Kaspersky Lab e il nostro Global Research and Analysis Team (il team di Ricerca Globale e Analisi) si è messo al lavoro. Lo studio ha svelato tre gruppi separati di hacker che hanno causato alle banche danni economici del valore di diversi milioni. Al Security Analyst Summit 2016, gli esperti del Team GReAT hanno presentato il report relativo all’indagine. Per motivi di sicurezza, i nomi delle vittime non sono stati rivelati.

Sportelli bancomat sotto assedio

Un trojan bancario con il melodioso nome di Metel (conosciuto anche come Corkow) fu scoperto inizialmente nel 2011: a quei tempi il malware era a caccia di utenti dei sistemi bancari online. Nel 2015 i criminali responsabili di Metel hanno puntato alle banche, nello specifico agli sportelli bancomat. Usando la loro astuzia e una campagna dolosa, hanno reso illimitate le loro comuni carte di credito. Un po’ come stampare denaro, ma meglio ancora.

Come hanno fatto

In seguito i criminali hanno infettato i computer degli impiegati di banca, o con l’aiuto di email di spear phishing che includevano file dannosi eseguibili, o mirando alle vulnerabilità di un broswer. Una volta dentro la rete, si servivano di software leciti per violare altri PC fino a raggiungere il dispositivo che stavano cercando, quello che avesse accesso alle transazioni di denaro. Per esempio, tramite i PC di operatori di call center o del servizio assistenza.

Di conseguenza, ogni volta che veniva prelevato il denaro dalla carta di una banca compromessa nel bancomat di un’altra banca, il sistema infetto riduceva le transazioni in automatico. Ecco perché il saldo delle carte rimaneva lo stesso, permettendo ai cybercriminali di ritirare denaro, ritiro limitato solo dalla quantità di contante del bancomat. In questo modo, hanno fatto “cassa” in differenti sportelli.

Per quel che sappiamo, la banda è relativamente piccola, non più di dieci persone. Alcuni di loro parlano il russo e non abbiamo rilevato infezioni fuori dalla Russia. Gli hacker sono ancora attivi e alla ricerca di nuove vittime.

Criminali scaltri

I criminali del gruppo GCMAN hanno trafficato in un’operazione simile, ma invece di derubare i bancomat, hanno trasferito denaro a servizi di e-currency. Penetravano nei dispositivi degli addetti alle risorse umane e contabilità e poi attendevano finché l’amministratore accedesse  al sistema.  A volte proseguivano nel processo impallando Microsoft Word o 1C (un programma usato in contabilità molto popolare in Russia). Mentre l’utente chiedeva aiuto e l’amministratore del sistema veniva a risolvere il problema, i criminali gli rubavano la password.

Poi i membri di GCMAN viaggiavano letteralmente attraverso la rete aziendale della banca fino a trovare un dispositivo che potesse trasferire con calma denaro a diversi servizi di e-currency. In alcune organizzazioni criminali lo facevano anche con l’aiuto di software legali e comuni tool di test di penetrazione come Putty, VNC e Meterpreter.

Queste transazioni erano effettuate tramite un cron script, che ogni minuto trasferiva automaticamente piccole somme. Questo per un totale di più o meno 200 dollari alla volta, perché tale è il limite massimo per le transazioni anonime in Russia. È da notare la precauzione dei ladri. In un caso, erano rimasti tranquilli nella rete per un anno e mezzo, violando furtivamente un sacco di dispositivi e account.

Per quel che ne sappiamo, il gruppo GCMAN è molto piccolo e comprende solo uno o due membri, che parlano uno squisito russo.

Il ritorno di Carbanak

Il gruppo Carbanak opera su Internet dal 2013. Occasionalmente scompare e poi ritorna con un nuovo piano d’attacco. Di recente, il profilo delle vittime di Carbanak è stato ampliato. Adesso punta ai dipartimenti finanziari di qualsiasi organizzazione d’interesse, non soltanto banche. Questo gruppo ha già rubato milioni da diverse aziende in tutto il mondo. Dopo, si sono ritirati per un po’ per poi tornare quattro mesi fa con un nuovo piano.

Per violare e rubare denaro, questi criminali usano ordinari tool e metodi tipo bancomat. La campagna di spear phishing attiva l’infezione iniziale della rete aziendale: un impiegato raggirato apre un allegato email e installa il malware, sviluppato da Carbanak.

Una volta che il computer è compromesso, i criminali cercano l’accesso a un account dell’amministratore del sistema e usano le credenziali rubate per violare il controller del dominio e sottrarre denaro da conti bancari, o perfino cambiare i dati di un proprietario dell’azienda.

Per quel che sappiamo, Carbanak è un gruppo internazionale che comprende criminali di Russia, Cina, Ucraina e altri paesi europei. La banda è composta da dozzine di persone. Potete saperne di più leggendo questo post.

Lavoro in banca: cosa dovrei fare?

Se lavorate per una banza o entità finanziario, dovete stare attenti. Come risulta evidente dagli esempi sopramenzionati, un giorno potreste essere voi quell’utente che invita per sbaglio i cybercriminali in ufficio. E se così fosse? Neanche a pensarci! Per evitarlo, vi consigliamo di leggere i seguenti articoli:

Per concludere, vorremmo aggiungere che le soluzioni Kaspersky Lab rilevano e disarmano tutti i malware conosciuti, creati da Carbanak, Metel e GCMAN.

Consigli