Carbanak APT

VIRUSDEFINITION

Virustype: Avanceret, vedvarende trussel (APT)

Hvad er Carbanak?

Carbanak er det navn, vi bruger for en trussel af APT-typen, der rettes mod (men ikke er begrænset til) finansielle institutioner. Vi siger APT-agtig, men angrebet er strengt taget ikke avanceret. Strengt taget er den overordnede egenskab, der definerer angribere, vedholdenhed.

Angriberne infiltrerer ofrets netværk og leder efter det kritiske system, som de kan bruge til indløse penge fra. Når de har stjålet en stor sum penge (fra 2,5 til 10 mio. USD pr. enhed), forlader de ofret.

Hvordan adskiller dette sig fra andre APT-angreb?

Den væsentligste forskel i forhold til andre APT-angreb er, at angriberne ikke anser data, men penge, som deres primære mål.

Carbanak-forbryderbanden, som er ansvarlige for cyberrøveriet, brugte teknikker fra et arsenal af målrettede angreb. Plottet markerer begyndelsen på en ny fase i udviklingen af cyberkriminelle aktiviteter, hvor ondsindede brugere stjæler penge direkte fra banker, og ikke længere er målrettet slutbrugere.

Registrerer Kaspersky Lab alle varianter af denne malware?

Ja, vi registrerer Carbanak-eksempler som Backdoor.Win32.Carbanak og Backdoor.Win32.CarbanakCmd.

Alle Kaspersky Labs virksomhedsprodukter og -løsninger registrerer kendte eksempler på Carbanak. For at hæve beskyttelsesniveauet anbefales det at aktivere Kasperskys proaktive forsvarsmodul, som medfølger i samtlige moderne produkter og løsninger.

Vi har også nogle generelle anbefalinger:

• Åbn ikke mistænkelige e-mails, især hvis de har en vedhæftet fil.
• Opdatér din software (i denne kampagne er der ikke anvendt nogen 0-dage)
• Aktiver heuristikken i dine sikkerhedspakker. På den måde er der større sandsynlighed for, at disse nye eksempler bliver opdaget og stoppet fra begyndelsen.

Hvordan identificeres indtrængningen?

Oplysninger om kompromitteringsindikatorer er medtaget i vores detaljerede tekniske forskningsartikel.

Kaspersky Lab opfordrer alle finansielle organisationer til omhyggeligt at scanne deres netværk for tilstedeværelsen af Carbanak og, hvis den detekteres, melde indtrængningen til politiet.

Indtil videre har vi observeret to hovedmål fra angriberne:

• Efterretningsvirksomhed
• Iværksættelse af andre typer angreb

Indtil videre har Regin-ofrene befundet sig i 14 lande:

• Algeriet
• Afghanistan
• Belgien
• Brasilien
• Fiji
• Tyskland
• Iran
• Indien
• Indonesien
• Kiribati
• Malaysia
• Pakistan
• Rusland
• Syrien

I alt har vi opsporet 27 forskellige ofre, selv om det skal påpeges, at definitionen af et offer her refererer til en hel enhed, herunder hele dens netværk. Antallet af unikke pc'er, der er inficeret med Regin, er naturligvis meget, meget højere.

Er dette et angreb, der er sponsoreret af en nationalstat?

I betragtning af kompleksiteten af og omkostningerne ved udviklingen af Regin er det sandsynligt, at denne aktivitet understøttes af en nationalstat.

Hvilket land står bag Regin?

Navngivelse er fortsat et meget vanskeligt problem med hensyn til professionelle angribere, som dem, der står bag Regin.

Er der kompromitteringsindikatorer (IOC'er), der kan hjælpe ofrene med at identificere indtrængningen?

Ja, IOC-oplysninger er medtaget i vores detaljerede tekniske forskningsartikel.