Bancos enfrentam novos ataques, incluindo o golpe do cartão com saldo infinito

GestãoSegurança

Uma nova tática virtual para roubar bancos foi descoberta pela equipe da Kaspersky Lab. A empresa confirmou o retorno do grupo de cibercriminosos Carbanak na versão Carbanak 2.0 e revelou mais dois grupos com o mesmo estilo de trabalho: o Metel e o GCMAN.

Esses grupos atacam organizações financeiras usando malware oculto e personalizado, de reconhecimento no estilo das APTs (ameaça persistente avançada), junto com softwares legítimos e esquemas novos e inovadores para sacar dinheiro em caixa eletrônico.

O grupo de criminosos virtuais Metel tem diversos truques em seu repertório, mas chamou a atenção um esquema muito inteligente: eles tomam o controle de computadores do banco com acesso a transações financeiras (como os computadores da central de atendimento/suporte) e, assim, conseguem automatizar a reversão de transações em caixas eletrônicos.

Isso garante que os saldos dos cartões de débito permaneçam inalterados, independentemente do número de transações realizadas em caixas eletrônicos. Nos casos observados até o momento, o grupo criminoso roubou valores percorrendo cidades da Rússia durante a noite e esvaziando os caixas eletrônicos de diversos bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco comprometido. Em apenas uma noite, conseguiram fazer as retiradas.

Durante a investigação da perícia, os especialistas da Kaspersky Lab descobriram que os operadores do Metel conseguiram realizar a infecção inicial por meio de emails de phishing criados especialmente com anexos maliciosos e do pacote de exploits Niteris, que visa vulnerabilidades no navegador da vítima. Depois de entrar na rede, os criminosos virtuais usam ferramentas legítimas e de testes de penetração para se movimentar lateralmente, sequestrando o controlador de domínio local. Em seguida, localizam e obtêm o controle dos computadores usados pelos funcionários do banco responsáveis pelo processamento de cartões de pagamento.

O grupo Metel continua ativo, e estão em andamento investigações sobre suas atividades. Até agora não foram identificados ataques fora da Rússia. Mesmo assim, há motivos para suspeitar que a infecção já esteja muito mais disseminada, e os bancos de todo o mundo foram orientados a verificar infecções de forma proativa.

Porém, em termos de invisibilidade, o GCMAN vai além: às vezes, consegue atacar uma organização sem usar nenhum malware, executando apenas ferramentas legítimas e de testes de penetração. Nos casos investigados pelos especialistas da Kaspersky Lab, foi observado o GCMAN usando os utilitários Putty, VNC, e Meterpreter para a movimentação lateral pela rede até alcançar um computador que possa ser usado para transferir valores para serviços de dinheiro eletrônico sem alertar outros sistemas do banco.

Em um ataque observado pela Kaspersky Lab, os criminosos virtuais permaneceram na rede por um ano e meio antes de efetivar o roubo. O dinheiro era transferido em somas de aproximadamente US$ 200, o limite máximo para pagamentos anônimos na Rússia. A cada minuto, o agendador CRON disparava um script malicioso e mais uma quantia era transferida para uma conta de dinheiro eletrônico pertencente a uma “mula” de dinheiro. As ordens de transação eram enviadas diretamente para a porta de pagamento posterior do banco, sem aparecer em qualquer ponto de seus sistemas internos.

Já o Carbanak 2.0 marca a reaparição da APT Carbanak, após um ano de sua descoberta, com as mesmas ferramentas e técnica, mas um perfil de vítimas diferente e maneiras inovadoras de retirar o dinheiro.

Em 2015, os alvos do Carbanak 2.0 não foram apenas bancos, mas também os departamentos de planejamento financeiro e contabilidade de organizações de interesse. Em um exemplo observado pela Kaspersky Lab, o grupo do Carbanak 2.0 acessou uma instituição financeira e começou a alterar as credenciais de propriedade de uma grande empresa. As informações foram modificadas para indicar uma “mula” de dinheiro como acionista da empresa, exibindo suas informações de identidade.


Clique para ler a bio do autor  Clique para fechar a bio do autor