Carbanak вернулся – и даже не один

Спустя год после раскрытия масштабного киберограбления, совершенного группировкой Carbanak, «Лаборатория Касперского» зафиксировала новые случаи использования методов нашумевших киберпреступников. Эксперты компании обнаружили, что «на арене» появились еще две команды, работающие в том же стиле. В настоящее время все они в основном атакуют и грабят банки и финансовые организации в России. Отличительной особенностью атак является использование тактик и технологий advanced persistent threat (APT), применяемых в профессиональных кампаниях кибершпионажа, спонсируемых государствами. Однако целью преступников является не получение данных, а кража денег.

Так, кибергруппировка Metel отличилась интересной схемой вывода денег: злоумышленники получают контроль над теми ресурсами внутри банка, которые имеют доступ к системам, управляющим денежными транзакциями (например, компьютеры клиентской поддержки), и настраивают автоматический откат операций, совершаемых через банкоматы. Таки образом, даже если преступники будут постоянно снимать деньги через банкоматы, баланс на их счетах останется постоянным, сколько бы транзакций в банкомате не было совершенно. До настоящего времени «Лаборатория Касперского» не зафиксировала ни одной атаки Metel за пределами России. Зато группировка активно «гастролировала» по российским городам России и в течение всего одной ночи снимала через банкоматы крупные суммы с карт, выпущенных скомпрометированным банком.

Другая группировка, GCMAN проявила себя непревзойденным мастером скрытности. Иногда ее успешные атаки не используют вообще никакого вредоносного ПО, полагаясь лишь на легитимные технологии и инструменты тестирования системы на проникновение. Так, в ряде случаев атакующие использовали утилиты Putty, VNC и Meterpreter, позволившие им добраться до компьютера, который мог быть задействован в переводе денег на сервисы криптовалют без оповещения других систем банка. Каждую минуту группировка GCMAN способна переводить до 200 долларов США – лимит для анонимных платежей в России. Все украденные деньги киберпреступники переводят на криптовалютные счета так называемых «дропов» – специально нанятых людей, которые занимаются обналичиванием.

Наконец, возродившаяся в2015 году группировка Carbanak по-прежнему использовала инструменты, характерные для сложных атак класса АРТ, однако расширила свои интересы. Теперь киберпреступники атакуют не только банки, но также финансовые и бюджетные департаменты любых организаций. В одном из случаев, зафиксированных «Лабораторией Касперского», группировка проникла в корпоративную сеть финансовой организации, регистрирующей данные о владельцах различных компаний, и изменила информацию об одном из них на данные своего «дропа».

«Киберпреступники начинают активно использовать сложные инструменты, применяемые в кампаниях кибершпионажа и АРТ-атаках. Злоумышленники все чаще они предпочитают атаковать не пользователей, а непосредственно банки, – поясняет Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы стремимся указать, где и как именно киберпреступники смогут нанести удар с целью украсть деньги. Поэтому зная, например, о стиле GCMAN, стоит проверить, насколько хорошо обеспечена безопасность банковских серверов, а в случае с Carbanak внимание стоит уделить защите баз данных, в которых содержится не только информация о балансе, но также сведения о собственниках счетов».