Si stima abbia fruttato circa un miliardo di dollari e che abbia colpito banche in tutto il mondo, principalmente in Europa, Stati Uniti e Cina, fra il 2013 e il 2014.
Modus Operandi
Ogni attacco partiva con una mail di spear phishing ben congegnata, contenente un allegato infetto che installava sul sistema vittima una backdoor. Questa consentiva di accedere all’intera rete dell’obiettivo (banche in questo caso).
Da quel momento gli aggressori, tramite una serie di movimenti laterali, cercavano e ottenevano accesso ad un “punto d’interesse” della rete, cioè un computer attraverso il quale fosse possibile effettuare trasferimenti di denaro.
I criminali poi, installavano nei terminali infettati strumenti di accesso remoto in grado di catturare video, screenshot e tutto ciò che veniva digitato sulla tastiera. Il loro obiettivo era imparare la “routine” di ognuno degli impiegati e raccogliere dati necessari per impersonare il comportamento dei dipendenti e per effettuare trasferimenti di denaro mimetizzandoli in attività e routine quotidiane.
Iniziava quindi la fase di monitoraggio. Ogni banca ha meccanismi e procedure interne differenti, quindi per ogni banca questa fase era differente, e poteva durare dai 2 ai 4 mesi. Una volta addestrati a dovere, partivano i furti. I metodi erano principalmente due:
- Trasferimenti di denaro virtuale da conti “gonfiati”: uno dei criminali, addetto ai database, “gonfiava” i conti di clienti della banca poco attivi sovrascrivendone il saldo, e subito dopo un altro criminale, addetto al trasferimento di denaro, trasferiva i fondi creati in altre banche, fino ad arrivare sui loro conti.
- Controllo dei bancomat: il criminale addetto agli apparati informatici specifici della banca concordava con del personale locale, detti “muli”, una serie di furti ai bancomat. Il primo impostava il sistema in modo da far erogare ai bancomat denaro in giorni ed orari specifici, mentre i “muli” si recavano sul posto e prelevavano il denaro – ecco il video di un furto ai bancomat.
La complessa rete organizzativa che si pone dietro a questi attacchi ricalca quella del crimine organizzato.
Al vertice ci sono dei cybercriminali, probabilmente di lingua russa, che hanno ideato e progettato il metodo di attacco. Sotto di loro troviamo un gran numero di personale tecnico o bancario, già esperti e adatti ad allenarsi ed imparare in fretta le procedure bancarie specifiche degli obiettivi.
Infine, ancora più sotto, la forza lavoro vera e propria, cioè gli addetti al ritiro e al movimento del denaro fisico, nonché coloro che aprivano i conti in cui far transitare il denaro o che fungevano da esca.
Ad oggi Carbanack è il cyberfurto più redditizio della storia.
Come difendersi
In primo luogo, è importante avere consapevolezza dei pericoli ai quali si va incontro sul posto di lavoro: una buona soluzione di cybersecurity awareness, come CyberBrain Awareness, avrebbe sicuramente mitigato l’efficacia di questi attacchi nella loro fase di intrusione nella rete vittima, e gli utenti avrebbero saputo, grazie a formazione e allenamenti specifici, come comportarsi in questo tipo di situazione per permettere di individuare rapidamente l’attacco.
L’implementazione di una soluzione antispam e antiphishing, avrebbe funto da protezione da tutte le email infette, risolvendo il problema alla radice.
Infine, un’analisi approfondita dei dati provenienti dalla rete interna, tramite un
Security Operation Center o il servizio CyberBrain, avrebbe rivelato tutti i movimenti laterali e i traffici anomali inevitabilmente generati dagli attaccanti, permettendo una risposta pronta a qualsiasi intrusione, limitandone i danni.



