Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie

17 lutego, 2015

Kaspersky Lab, Interpol, Europol oraz władze różnych krajów połączyły wysiłki, aby rozwikłać wątek przestępczy w bezprecedensowym cybernapadzie. W ciągu około dwóch lat prawie miliard dolarów amerykańskich zostało skradzionych instytucjom finansowym na całym świecie. Eksperci twierdzą, że odpowiedzialność za kradzież ponosi międzynarodowy gang cyberprzestępców z Rosji, Ukrainy i innych części Europy, jak również z Chin. W ataku ucierpiały także instytucje finansowe z Polski.

Stojący za cyberkradzieżą gang Carbanak stosował techniki zaczerpnięte z arsenału ataków ukierunkowanych. Incydent ten zwiastuje przewidywany przez ekspertów z Kaspersky Lab nowy etap ewolucji aktywności cyberprzestępczej, w której atakujący kradną pieniądze bezpośrednio z banków i unikają infekowania użytkowników końcowych.  

Od 2013 r. przestępcy próbowali zaatakować do 100 banków, systemów e-płatności oraz innych instytucji finansowych w około 30 państwach. Ataki te nadal są aktywnie przeprowadzane. Według danych Kaspersky Lab cybernapady gangu Carbanak uderzały w organizacje finansowe w Rosji, Stanach Zjednoczonych, Niemczech, Chinach, na Ukrainie, w Kanadzie, Hongkongu, Tajwanie, Rumunii, Francji, Hiszpanii, Norwegii, Indiach, Wielkiej Brytanii, Polsce, Pakistanie, Nepalu, Maroku, Islandii, Czechach, Szwajcarii, Brazylii, Bułgarii oraz Australii. 

klp carbanak mapa ofiar

Szacuje się, że największe kwoty zostały ukradzione w wyniku ataków na banki – w każdym napadzie cyberprzestępcy wzbogacili się o niemal dziesięć milionów dolarów. Każda kradzież pieniędzy z banku trwała średnio od dwóch do czterech miesięcy, od momentu zainfekowania pierwszego komputera w korporacyjnej sieci bankowej do „ucieczki” ze skradzionymi pieniędzmi. 

Na początku cyberprzestępcy uzyskiwali dostęp do komputera pracownika za pośrednictwem ukierunkowanych phishingowych wiadomości e-mail, infekując ofiarę szkodliwym oprogramowaniem Carbanak. To pozwoliło im wniknąć do wewnętrznej sieci i zidentyfikować komputery administratorów, które zostały poddane monitoringowi wideo. Dzięki temu atakujący mogli widzieć i rejestrować wszystko, co działo się na ekranach pracowników, którzy obsługiwali systemy przelewu gotówki. W ten sposób oszuści poznali każdy najmniejszy szczegół związany z pracą urzędników bankowych i mogli imitować działania personelu w celu przelania pieniędzy i zdeponowania gotówki.   

W jaki sposób skradziono pieniądze

klp carbanak schemat dzialania

Gdy nadszedł czas „spieniężenia” ataku, oszuści wykorzystali bankowość online lub międzynarodowe systemy e-płatności w celu przelania środków z kont banków na własne. W drugim przypadku skradzione pieniądze zostały ulokowane w bankach w Chinach i Ameryce. Eksperci nie wykluczają, że odbiorcami były inne banki w innych państwach.

W innych przypadkach cyberprzestępcy wniknęli do samego serca systemów bankowych, zwiększając salda kont, a następnie kradnąc te dodatkowe środki w wyniku oszukańczej transakcji. Na przykład: jeśli na koncie znajduje się 1 000 dolarów, przestępcy zmieniają tę kwotę, tak aby wynosiła 10 000 dolarów, a następnie przelewają sobie 9 000 dolarów. Posiadacz rachunku nic nie podejrzewa, ponieważ pierwotne 1 000 dolarów nadal znajduje się na jego koncie.    

Ponadto cyberprzestępcy przejęli kontrolę nad bankomatami i nakazali im wypłacić gotówkę w określonym terminie. Gdy nadszedł termin realizacji płatności, jeden z członków gangu czekał obok maszyny, aby odebrać płatność „na okaziciela”.

„Opisywane napady na banki były nietypowe, ponieważ dla przestępców nie miało żadnego znaczenia, jakie oprogramowanie wykorzystują instytucje finansowe. Nawet jeśli bank posiada unikatowe oprogramowanie, nie może czuć się bezpieczny. Atakujący nie musieli nawet włamywać się do serwisów banków: po wniknięciu do sieci wymyślili, jak ukryć swój przekręt pod przykrywką legalnych działań. To była bardzo sprawna, profesjonalna cyberkradzież” – powiedział Siergiej Golowanow, główny badacz ds. bezpieczeństwa, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.

„Ataki te po raz kolejny podkreślają, że przestępcy wykorzystają każdą lukę w zabezpieczeniach systemów. Pokazują również, że żaden sektor nie może sądzić, że jest odporny na ataki, i konieczna jest nieustanna praca nad procedurami bezpieczeństwa. Rozpoznawanie nowych trendów w cyberprzestępczości stanowi jeden z kluczowych obszarów, w którym Interpol współpracuje z Kaspersky Lab, aby pomóc zarówno publicznemu, jak i prywatnemu sektorowi lepiej zabezpieczyć się przed takimi ewoluującymi zagrożeniami” – powiedział Sanjaj Wirmani, dyrektor Interpol Digital Crime Centre.

Kaspersky Lab apeluje do wszystkich organizacji finansowych, aby dokładnie sprawdziły swoje sieci pod kątem obecności szkodliwego oprogramowania Carbanak i w razie wykrycia takiego ataku powiadomiły o nim organy ścigania.  

źródło: Kaspersky Lab

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]