26 marca 2018 r. Europol poinformował o ujęciu w Hiszpanii lidera cybergangu odpowiedzialnego za ataki na ponad 100 instytucji finansowych z całego świata z użyciem szkodliwego oprogramowania Carbanak oraz Cobalt. Grupa cyberprzestępcza Carbanak została wykryta w 2015 r. przez Kaspersky Lab we współpracy z Interpolem, Europolem i szeregiem innych organów ścigania.
Wydarzenie skomentował Siergiej Golowanow, główny badacz ds. cyberbezpieczeństwa, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab, zaangażowany w analizę organizacji Carbanak:
Niedawny sukces organów ścigania w walce z grupą cyberprzestępczą Carbanak to świetna wiadomość dla całej branży. Po raz kolejny widzimy, że wymiana informacji między krajami to bardzo ważny czynnik w walce z zaawansowaną cyberprzestępczością.
Carbanak to zaawansowana kampania cyberprzestępcza (APT), w ramach której stosowano narzędzia pozwalające na przeprowadzanie ataków ukierunkowanych na instytucje finansowe na całym świecie. Głównym celem atakujących była kradzież pieniędzy.
Grupa stosowała elementy socjotechniki, takie jak wiadomości phishingowe z zainfekowanymi załącznikami (np. dokumenty Worda z osadzonymi szkodliwymi narzędziami wykorzystującymi luki w zabezpieczeniach) w celu atakowania pracowników instytucji finansowych. Gdy ofiara została zainfekowana, atakujący instalowali tylną furtkę zaprojektowaną z myślą o działaniach szpiegowskich, kradzieży danych i zdalnym zarządzaniu zarażonym systemem. Grupa interesowała się przede wszystkim systemami obsługującymi transakcje finansowe.
W momencie wykrycia grupy Carbanak badacze z Kaspersky Lab oszacowali, że atakujący ukradli nawet miliard dolarów. Od 2013 roku gang zaatakował ponad sto banków, systemów e-płatności i innych instytucji finansowych w przynajmniej 30 krajach w Europie, Azji, Ameryce Północnej i Południowej, a także w innych regionach.
Biorąc pod uwagę międzynarodową skalę ataków grupy Carbanak, uważamy, że w szkodliwe działania było zaangażowanych kilkadziesiąt osób. Ślady wykryte w szkodliwych plikach i komputerach ofiar sugerują, że osoby stojące za tą kampanią płynnie posługują się językiem rosyjskim.
