Na ślad groźnego cybergangu organy ścigania po raz pierwszy trafiły w 2015 roku. Było to możliwe m.in. dzięki współpracy Interpolu, Europolu i ekspertów z Kaspersky Lab.
Początkowo oszuści korzystali z oprogramowania Anunak, które było wykorzystywane do ataków na bankomaty. Później grupa opracowała nowe wersje malware - Carbanak i Cobalt, które pozwalały na bardziej wysublimowane ataki. Z danych Europolu wynika, że tylko podczas jednego "skoku" oszuści byli w stanie ukraść nawet 10 mln euro.
Grupa stosowała elementy socjotechniki, takie jak wiadomości phishingowe z zainfekowanymi załącznikami (np. dokumenty Worda z osadzonymi szkodliwymi narzędziami wykorzystującymi luki w zabezpieczeniach) w celu atakowania pracowników instytucji finansowych. Gdy ofiara została zainfekowana, atakujący instalowali tylną furtkę zaprojektowaną z myślą o działaniach szpiegowskich, kradzieży danych i zdalnym zarządzaniu zarażonym systemem. Grupa interesowała się przede wszystkim systemami obsługującymi transakcje finansowe.
- tłumaczy Siergiej Golowanow, badacz ds. cyberbezpieczeństwa w Kaspersky Lab.
Carbanak fot. Europol
Oszuści zdobywali pieniądze na kilka sposobów:
- Włamywali się zdalnie do bankomatów, a następnie zlecali wypłatę gotówki, po którą - w ustalonym miejscu i czasie pojawiał się jeden z członków grupy.
- Włamywali się do systemów e-płatności, a następnie zlecali przelewy na swoje konta.
- Włamywali się do baz danych banków i modyfikowali salda rachunków bankowych, z których następnie wypłacali lub przelewali pieniądze.
Ogółem, przez pięć lat swojej działalności przestępcy zaatakowali ponad sto banków, systemów e-płatności i innych instytucji finansowych w przynajmniej 30 krajach w Europie, Azji, Ameryce Północnej i Południowej, jak również w innych regionach. Straty z tego tytułu są szacowane przez Europol na ponad 1 miliard euro.
