Con un report dettagliato Bitdefender ha raccontato un attacco contro una banca europea, acquisendo nuove informazioni e creando cronologia completa dell’evento. L’analisi è partita dal momento in cui l’email di spear phishing ha raggiunto la casella di posta in entrata di un dipendente dell’ente colpito fino alla scoperta, mostrando come il famigerato gruppo Carbanak si infiltra all’interno delle aziende e come si sposta all’interno dell’infrastruttura.
Clicca per ingrandire
L’analisi forense di Bitdefender ha rivelato alcune tecniche di violazione fondamentali che fanno luce sul modus operandi del gruppo, sulle modalità di esecuzione dell’attività di ricognizione e di pianificazione della fase finale dell’attacco.
Nel giro di poche ore dalla violazione, il gruppo di criminali informatici ha iniziato a identificare i documenti essenziali e a prepararli per l’esfiltrazione, cercando di accedere ai bancomat e alle applicazioni di banking dell’organizzazione colpita.
Clicca l’immagine per scaricare il report.
I punti principali dell’indagine
– Una sequenza temporale completa dell’evento, dalla violazione iniziale al momento del furto.
– La presenza degli strumenti di banking Cobalt Strike punta il dito verso il gruppo di criminali informatici Carbanak.
– Gli istituti di credito nell’Europa dell’Est rimangono l’obiettivo primario del gruppo criminale.
– Necessarie solo poche ore dalla violazione iniziale perché il gruppo di infiltrasse, consolidasse la presenza della minaccia e iniziasse a diffondersi in azienda.
– Nella fase di ricognizione, sono stati acquisiti i dati relativi alle applicazioni bancarie e alle procedure interne e quindi preparati per l’esfiltrazione, per essere poi utilizzati nella fase finale dell’attacco.
– L’attività di ricognizione dell’infrastruttura è stata condotta principalmente al di fuori dell’orario d’ufficio o durante i fine settimana.
– L’obiettivo finale era la violazione delle reti Bancomat, per cercare di prelevare denaro dagli sportelli Bancomat in un’operazione criminale coordinata a livello fisico e contro l’infrastruttura.