Kaspersky Lab, Interpol, Europol e le autorità di diversi Paesi hanno unito le forze per scoprire i criminali che si nascondono dietro ad una rapina informatica senza precedenti. Nell’arco di due anni è stato rubato un miliardo di dollari americani ad istituti finanziari di tutto il mondo. Gli esperti riferiscono che la responsabilità delle rapine è da attribuirsi a una banda internazionale di cybercriminali provenienti da Cina, Russia, Ucraina e altri Paesi europei.
I criminali responsabili della rapina informatica Carbanak hanno utilizzato tecniche già rilevate negli attacchi mirati. Questa operazione segna l’inizio di una nuova fase dell’evoluzione delle attività dei criminali informatici in cui gli hacker non puntano più agli utenti finali ma mirano direttamente al denaro delle banche.
Dal 2013, i criminali hanno preso di mira un centinaio di banche, sistemi di pagamento online e altre istituti finanziari in circa 30 Paesi. Gli attacchi sono tuttora in corso e secondo le informazioni di Kaspersky Lab, gli obiettivi di Carbanak includono organizzazioni finanziarie in Russia, Usa, Germania, Cina, Ucraina, Canada, Hong Kong, Taiwan, Romania, Francia, Spagna, Norvegia, India, Regno Unito, Polonia, Pakistan, Nepal, Marocco, Islanda, Irlanda, Repubblica Ceca, Svizzera, Brasile, Bulgaria e Australia.
È stato stimato che le somme più importanti sono state sottratte infiltrandosi nella rete informatica delle banche e rubando fino a dieci milioni di dollari in un solo colpo. In media ogni operazione ha avuto una durata che va dai due ai quattro mesi, calcolando dal momento dell’infezione del primo computer del network aziendale della banca fino al furto effettivo del denaro.
I cybercriminali davano inizio al loro attacco inviando una mail di spear phishing all’indirizzo di posta di un impiegato della banca ottenendo così l’accesso al computer e infettando la vittima con il malware Carbanak. Erano quindi in grado di accedere alla rete interna e individuare i computer degli addetti alla video sorveglianza. Questo ha permesso loro di visionare e registrare tutto ciò che veniva trasmesso sugli schermi del personale che si occupa dei sistemi di trasferimento di denaro. In questo modo i truffatori hanno scoperto ogni minimo dettaglio del lavoro dei dipendenti della banca e sono stati in grado di imitare l’attività dello staff per trasferire denaro all’esterno.
Com’è stato rubato il denaro
Per monetizzare la propria attività i truffatori usavano sistemi di online banking o di pagamento internazionale online per trasferire denaro dai conti della banca ai loro. Nel secondo caso il denaro rubato veniva depositato in banche cinesi o americane. Gli esperti non escludono la possibilità che altre banche in altri Paesi siano state usate come beneficiari. In altri casi i cybercriminali sono penetrati nel cuore del sistema amministrativo, gonfiando i bilanci dei conti prima di incassare il denaro in eccesso tramite transazioni fraudolente. Ad esempio: se su un conto erano registrati 1.000 dollari, i criminali incrementavano il valore portandolo a 10.000 dollari per poi trasferirne 9.000 sul proprio conto. Il titolare del conto non poteva sospettare nulla poiché i mille dollari in suo possesso rimanevano di fatto sul conto. I criminali sono riusciti, inoltre, ad ottenere il controllo degli sportelli bancomat ai quali ordinavano di erogare denaro ad un orario prestabilito. Nel momento in cui veniva effettuato il pagamento uno dei membri della banda si trovava proprio vicino allo sportello bancomat pronto a raccogliere il pagamento “volontario”.
“Queste rapine sono state sorprendenti perché per i criminali non faceva alcuna differenza quale software venisse usato dalle banche. E’ evidente quindi che, anche se la banca possiede un software esclusivo non può ritenersi al sicuro. I criminali non hanno dovuto neppure hackerare i servizi della banca: una volta entrati nel network, hanno imparato a nascondersi dietro ad azioni legittime. Si è trattato di rapine condotte da criminali professionisti ed estremamente esperti”, ha commentato Sergey Golovanov, Principal Security Researcher del Global Research and Analysis Team di Kaspersky Lab.
“Questi attacchi ci mettono in guardia sul fatto che i criminali sfrutteranno le vulnerabilità di qualsiasi sistema. Nessun settore può considerarsi immune agli attacchi e deve seguire costantemente le procedure di sicurezza. L’identificazione delle nuove tendenze nel cybercrimine è una delle principali aree in cui l’Interpol collabora con Kaspersky Lab per aiutare sia il settore pubblico che quello privato a proteggersi meglio da queste minacce emergenti”, ha commentato Sanjay Virmani, Director dell’Interpol Digital Crime Centre.
Kaspersky Lab invita tutte le organizzazioni finanziarie a analizzare attentamente le proprie reti alla ricerca di Carbanak e, se rilevato, a riferire l’intrusione alle forze dell’ordine.