Cos'è carbanak?

Carbanak è il nome che usiamo per una campagna in stile APT che si rivolge (ma non si limita) alle istituzioni finanziarie. Si definisce APT ma l'attacco non è poi così strettamente avanzato. A rigor di termini, la caratteristica principale che definisce gli aggressori è la persistenza.

Gli aggressori si infiltrano nella rete della vittima alla ricerca di un sistema critico che possono utilizzare per incassare soldi. Una volta rubata una significativa quantità di denaro (da 2,5 a 10 milioni di dollari per entità), abbandonano la vittima.

Perché è diverso dagli altri attacchi APT?

La principale differenza con gli altri attacchi APT è che gli attaccanti non sono interessati ai dati ma ai soldi, questo è il loro unico obiettivo.

La banda criminale di Carbanak responsabile della cyber rapina ha utilizzato tecniche provenienti dall'arsenale degli attacchi mirati. La trama segna l'inizio di una nuova fase nell'evoluzione dell'attività dei cybercriminali, in cui gli utenti malintenzionati rubano denaro direttamente dalle banche ed evitano di colpire gli utenti.

Kaspersky Lab riesce a rilevare tutte le varianti di questo malware?

Sì, rileviamo campioni Carbanak come Backdoor.Win32.Carbanak e Backdoor.Win32.CarbanakCmd.

Tutti i prodotti e le soluzioni aziendali Kaspersky Lab rilevano noti campioni di Carbanak. Per aumentare il livello di protezione, si consiglia di attivare il modulo di difesa proattiva di Kaspersky, presente in ogni prodotto e soluzione più moderna.

Di seguito alcune raccomandazioni:

  • non aprire e-mail sospette, soprattutto se contengono un allegato;
  • aggiornare il software (in questa campagna non sono stati usati 0-day)

È possibile rilevare e bloccare fin dall'inizio questi nuovi campioni, attivando l'euristica nelle suite di sicurezza.

Come capire se vi è stata un'intrusione?

Nel nostro dettagliato articolo tecnico sono inclusi i vari indicatori di informazioni di compromesso.

Kaspersky Lab sollecita tutte le organizzazioni finanziarie a scansionare accuratamente le proprie reti e se rilevate presenze di carbanak, segnalarne l'intrusione alle forze dell'ordine.

Finora, si è parlato dei due obiettivi principali degli aggressori:

  • raccogliere informazioni
  • facilitare altri tipi di attacchi

Finora, le vittime di Regin sono state identificate in 14 paesi:

  • Algeria
  • Afghanistan
  • Belgio
  • Brasile
  • Isole Figi
  • Germania
  • Iran
  • India
  • Indonesia
  • Kiribati
  • Malesia
  • Pakistan
  • Russia
  • Siria

In totale, sono state contate 27 vittime diverse, sebbene sia necessario sottolineare che la definizione di vittima qui si riferisce a interi sistemi, che includono tutta la loro rete interna. Ovviamente, il numero dei singoli PC infetti da Regin è molto più alto.

Si tratta di un attacco sponsorizzato dagli stati nazionali?

Considerata la complessità e il costo dello sviluppo di un attacco Regin, è probabile che si tratti di un'operazione supportata da uno stato nazionale.

Quale paese si cela dietro Regin?

Imputare l'operazione a qualcuno è molto difficile quando si tratta di hacker professionisti come quelli che si nascondono dietro Regin.

Esistono degli indicatori di compromissione (IOC) che possano aiutare le vittime a identificare un'intrusione?

Si, le informazioni relative agli indicatori di compromissione si trovano nel nostro dettagliato articolo tecnico.

Utilizziamo i cookie per rendere migliore la tua esperienza sul nostro sito Web. Usando e navigando su questo sito li accetterai. Sono disponibili informazioni dettagliate sull'uso dei cookie su questo sito Web facendo clic sull'apposito link.

Accetta e chiudi