Volgens Europol heeft de Spaanse politie in de stad Alicante een persoon aangehouden die ervan wordt verdacht de leider te zijn van de criminele groepen achter de Carbanak- en Cobalt-malware. Daarmee richtten de criminelen zich op banken.

Ze zouden actief zijn geweest in veertig landen en een totale schade van ongeveer één miljard euro teweeg hebben gebracht sinds 2013, schrijft Europol. In dat jaar begonnen criminelen met de ontwikkeling van malware die destijds nog de naam Anunak droeg, en gebruikten deze om banktransacties en netwerken van pinautomaten aan te vallen. Tussen 2014 en 2016 was Carbanak in gebruik, waarbij het om een geavanceerdere variant ging. Een verbeterde versie zou sindsdien in gebruik zijn onder de naam Cobalt, gebaseerd op de Cobalt Strike-software voor beveiligingsonderzoeken.

De groep kwam bij banken binnen met behulp van gerichte phishingberichten, waarin kwaadaardige bijlagen waren opgenomen. Deze konden malware binnenhalen, die de aanvallers in staat stelde om op afstand geïnfecteerde systemen over te nemen en verder het netwerk binnen te dringen. De groep gebruikte vervolgens verschillende manieren om aan geld te komen. Zo was het mogelijk om pinautomaten op afstand geld te laten uitgeven dat door een wachtende persoon werd meegenomen.

Daarnaast konden ze overboekingen naar eigen rekeningen uitvoeren en databases met rekeninginformatie aanpassen door het tegoed te verhogen, zodat zogenaamde geldezels vervolgens ongemerkt geld konden opnemen. Volgens Europol werd het buitgemaakte geld onder meer witgewassen met behulp van cryptovaluta en prepaid betaalkaarten. De leden van de groep, waarvan de omvang onbekend is, zouden verspreid zijn over de hele wereld.

De naam Carbanak komt voort uit analyses van beveiligingsbedrijf Kaspersky, dat eerder onderzoek over de groep publiceerde. Daarin gebruikte het de naam om een bepaald soort backdoor aan te duiden. Het omschreef de groep achter Carbanak als een 'apt-achtige' groep, waarmee het bedrijf refereert aan advanced persistent threat. Deze vergelijking ging echter niet helemaal op, omdat Carbanak uit was op geld in plaats van informatie en omdat de groep niet bijzonder geavanceerd was, maar goed was in persistence, oftewel het aanwezig blijven op een geïnfecteerd systeem.

Het beveiligingsbedrijf Positive Technologies publiceerde halverwege vorig jaar een analyse van Cobalt, de opvolger van Carbanak, waarin het inging op nieuwe technieken. Zo schreef het bedrijf dat de groep bijvoorbeeld partners van banken aanviel om vervolgens vanuit hun infrastructuur gerichte phishing-eā€‘mails te sturen naar bankmedewerkers.

(Bron: Tweakers.net)

    26-03-2018 00:00