Tientallen Russische banken zijn het afgelopen jaar door criminelen met malware geinfecteerd, om zo financiële fraude te plegen. Dat heeft het Russische anti-virusbedrijf Kaspersky Lab vandaag bekendgemaakt. Het gaat om drie criminele organisaties die achter de malwarebesmettingen zitten.
De aanvallen van de eerste groep genaamd 'Metel' beginnen met spear phishingmails en een exploitkit die van bekende kwetsbaarheden in onder andere Adobe Flash Player gebruikmaakt. De groep probeert zoveel mogelijk systemen te infecteren en kijkt vervolgens of er systemen van banken tussenzitten. Vervolgens wordt er binnen de bank naar de systemen gezocht die voor de financiën worden gebruikt.
Door de toegang tot het transactieverwerkingssysteem van de bank kunnen de criminelen geldopnames bij geldautomaten terugdraaien. Op deze manier wordt het geld uit de geldautomaat gestolen, maar blijft de rekening van de pinpas in kwestie onveranderd. De criminelen gebruikten deze truc om bij verschillende geldautomaten geld op te nemen. De Metel-malware werd bij meer dan 30 Russische banken aangetroffen.
De tweede groep die Kaspersky Lab heeft onthuld wordt GCMAN genoemd, omdat de criminelen voor hun malware van de GCC-compiler gebruikmaakten. De aanvallen van deze groep beginnen met spear phishingmails die een kwaadaardig RAR-bestand bevatten. Zodra de ontvanger het RAR-bestand opent wordt de malware uitgevoerd. Vervolgens bewegen de criminelen zich lateraal door het netwerk, waarbij ze tools als Putty, VNC en Meterpreter gebruiken. Hierbij zoeken ze naar belangrijke banksystemen.
Bij één aanval bleek de groep op een bankserver een cron-script te hebben geplaatst, dat met een snelheid van 200 dollar per minuut financiële transacties naar een betalingsverwerkingssysteem verstuurde. De bende kon op deze manier het geld naar verschillende virtuele valutadiensten overmaken, zonder dat de transacties in de banksystemen verschenen. De GCMAN-malware werd bij drie Russische banken aangetroffen.
De derde en laatste groep genaamd Carbanak kwam vorig jaar al in het nieuws, omdat het miljoenen van Russische banken wist te stelen. De groep criminelen is nu weer actief, maar lijkt inmiddels verder dan alleen banken te kijken. Zo worden boekhoudafdelingen van allerlei interessante organisaties aangevallen. In één geval gebruikte de Carbanak-bende de toegang tot een bank om de gegevens van een groot bedrijf te veranderen. De informatie werd aangepast, waarbij er een geldezel als aandeelhouder van het bedrijf werd vermeld. Hoe de bende van deze informatie gebruik wilde maken is onbekend.
Vanwege het onderzoek naar de criminelen en contracten die met de slachtoffers werden gesloten kan Kaspersky Lab naar eigen zeggen geen uitgebreide details over de aanvallen geven. Wel heeft het 'indicators of compromise' (ioc) vermeld, die op een malware-infectie kunnen duiden. In het geval van een infectie krijgen organisaties het advies om contact met de politie op te nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.