Se connecter
Inscription
Mot de passe perdu
Publié le 08/02/2016 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, 8 février 2016 – Un an après que Kaspersky Lab ait averti que les cybercriminels allaient commencer à adopter les outils et tactiques de PAT soutenues par des États-nations en vue de piller les banques, la société a confirmé le retour de Carbanak sous la forme de Carbanak 2.0 et découvert deux autres groupes opérant dans le même style: Metel et GCMAN. Ils attaquent les organisations financières en utilisant des moyens de reconnaissance occultes et des maliciels personnalisés en même temps que des logiciels légitimes et de nouvelles formules innovantes d’encaissement.
Le groupe cybercriminel Metel possède un large répertoire de stratagèmes mais il est particulièrement intéressant en raison d’un système remarquablement astucieux: en prenant le contrôle de machines qui, à l’intérieur d’une banque, ont accès aux opérations monétaires (centre d’appels/ordinateurs de soutien de la banque, p.ex.), la bande peut automatiser la programmation de transactions au niveau des distributeurs de billets (DAB). La technique utilisée fait que le solde des cartes de débit reste identique quel que soit le nombre de transactions DAB entreprises. Dans les exemples observés à ce jour, le groupe criminel dérobe de l’argent en circulant la nuit entre diverses villes de Russie pour y vider les distributeurs de billets de plusieurs banques, en employant de manière répétée les mêmes cartes de débit émises par les banques piratées. En l’espace de juste une nuit, ils parviennent ainsi à encaisser tout l’argent liquide qui peut l’être.
“Actuellement, la phase active d’une cyberattaque a tendance à se raccourcir. Lorsque les agresseurs maîtrisent une opération particulière, il ne leur faut guère plus de quelques jours ou d’une semaine pour prendre ce qu’ils veulent et déguerpir,” commente Sergey Golovanov, Principal Security Researcher au sein du Global Research & Analysis Team, Kaspersky Lab.
Lors des investigations criminelles, les experts de Kaspersky Lab ont découvert que les opérateurs de Metel réalisent leur infection initiale par le biais d’e-mails de spear-phishing spécialement conçus comportant des pièces jointes malveillantes, et le kit d'exploitation Niteris, en visant les vulnérabilités du navigateur de la victime. Une fois à l’intérieur du réseau, les cybercriminels utilisent des outils légitimes et de pentest pour se déplacer latéralement, afin de pirater le contrôleur de domaine local et ensuite, de localiser et prendre le contrôle des ordinateurs utilisés par les employés de la banque responsables du traitement des cartes de paiement.
Le groupe Metel demeure actif et l’enquête portant sur ses activités est en cours. À ce stade, aucune attaque n’a été décelée en dehors de la Russie. Il existe toutefois des motifs de suspecter que l’infection est beaucoup plus répandue et il est dès lors conseillé aux banques du monde entier de contrôler proactivement sa présence éventuelle.
Les trois bandes identifiées évoluent vers l’utilisation de maliciels accompagnés de logiciels légitimes dans leurs opérations frauduleuses: pourquoi écrire une foule d’outils maliciels sur mesure, lorsque des utilitaires licites peuvent s’avérer tout aussi efficaces, et déclencher nettement moins d’alarmes? Mais en termes de furtivité, l’acteur GCMAN va encore plus loin: parfois, il peut réussir à attaquer une organisation sans faire usage d’aucun maliciel, et en se contentant d’exécuter des outils légitimes et de pentest. Dans les cas analysés par les experts de Kaspersky Lab, on a vu GCMAN utiliser les utilitaires Putty, VNC et Meterpreter pour évoluer latéralement à travers le réseau jusqu’à ce que les hackers atteignent une machine pouvant être utilisée pour transférer de l’argent vers des services d’e-currency sans alerter d’autres systèmes bancaires.
Dans une attaque observée par Kaspersky Lab, les cybercriminels étaient restés dans le réseau pendant une année et demi avant d’activer le vol. L’argent était transféré par paquets d’environ $200, plafond fixé pour les paiements anonymes en Russie. Toutes les minutes, le cadenceur CRON lançait un script malveillant, et une autre somme était transférée vers des comptes d’e-currency appartenant à un passeur d’argent. Les ordres de transactions étaient envoyés directement vers la passerelle de paiement amont de la banque et n’apparaissaient nulle part dans les systèmes internes de la banque.
Et enfin, Carbanak 2.0 marque la ré-émergence de la menace persistante avancée (APT) Carbanak, avec les mêmes outils et techniques mais un profil de victimes différent et des modalités d’encaissement innovantes. En 2015, les cibles de Carbanak 2.0 ne sont pas seulement les banques, mais les départements des budgets et de la comptabilité de toute organisation jugée intéressante. Dans un exemple observé par Kaspersky Lab, la bande Carbanak 2.0 avait ainsi accédé à une institution financière où elle s’était employée à trafiquer les documents accréditifs d’une grande société. Les informations avaient été modifiées au bénéfice d’un passeur d’argent, désormais identifié comme l’un des actionnaires de la société.
“Les attaques contre les institutions financières découvertes en 2015 révèlent une tendance inquiétante des cybercriminels a adopter de façon agressive des modalités d’action de type APT. La bande Carbanak fut juste la première d’une longue série: les cybercriminels apprennent aujourd’hui très vite comment utiliser de nouvelles techniques dans leurs opérations, et l’on en voit beaucoup passer de l’attaque des utilisateurs à l’attaque directe des banques . Leur logique est simple: aller là où est l’argent” avertit Golovanov. “Et nous entendons montrer comment et où, de manière spécifique, les acteurs de la cybermenace pourraient s’en prendre à votre argent. J’espère qu’après avoir entendu parler des attaques GCMAN, vous irez vous renseigner pour savoir comme vos serveurs bancaires sont protégés; dans le cas de Carbanak, nous conseillons de protéger la base de données qui contient les informations concernant les titulaires des comptes, et pas juste leurs soldes.”
Les produits de Kaspersky Lab détectent et bloquent avec succès les maliciels utilisés par les acteurs de la cybermenace Carbanak 2.0, Metel et GCMAN . La société diffuse aussi des indicateurs d'infection IOC (Indicators of Compromise) cruciaux et d’autres données pour aider les organisations à rechercher des traces de ces groupes d’attaques dans leurs réseaux d’entreprise. Cliquez ici pour plus d’informations.
Nous invitons instamment toutes les organisations à scanner soigneusement leurs réseaux pour y déceler la présence de Carbanak, Metel et GCMAN et, en cas de détection, de désinfecter leurs systèmes et de signaler l’intrusion aux autorités de réglementation.
Le groupe cybercriminel Metel possède un large répertoire de stratagèmes mais il est particulièrement intéressant en raison d’un système remarquablement astucieux: en prenant le contrôle de machines qui, à l’intérieur d’une banque, ont accès aux opérations monétaires (centre d’appels/ordinateurs de soutien de la banque, p.ex.), la bande peut automatiser la programmation de transactions au niveau des distributeurs de billets (DAB). La technique utilisée fait que le solde des cartes de débit reste identique quel que soit le nombre de transactions DAB entreprises. Dans les exemples observés à ce jour, le groupe criminel dérobe de l’argent en circulant la nuit entre diverses villes de Russie pour y vider les distributeurs de billets de plusieurs banques, en employant de manière répétée les mêmes cartes de débit émises par les banques piratées. En l’espace de juste une nuit, ils parviennent ainsi à encaisser tout l’argent liquide qui peut l’être.
“Actuellement, la phase active d’une cyberattaque a tendance à se raccourcir. Lorsque les agresseurs maîtrisent une opération particulière, il ne leur faut guère plus de quelques jours ou d’une semaine pour prendre ce qu’ils veulent et déguerpir,” commente Sergey Golovanov, Principal Security Researcher au sein du Global Research & Analysis Team, Kaspersky Lab.
Lors des investigations criminelles, les experts de Kaspersky Lab ont découvert que les opérateurs de Metel réalisent leur infection initiale par le biais d’e-mails de spear-phishing spécialement conçus comportant des pièces jointes malveillantes, et le kit d'exploitation Niteris, en visant les vulnérabilités du navigateur de la victime. Une fois à l’intérieur du réseau, les cybercriminels utilisent des outils légitimes et de pentest pour se déplacer latéralement, afin de pirater le contrôleur de domaine local et ensuite, de localiser et prendre le contrôle des ordinateurs utilisés par les employés de la banque responsables du traitement des cartes de paiement.
Le groupe Metel demeure actif et l’enquête portant sur ses activités est en cours. À ce stade, aucune attaque n’a été décelée en dehors de la Russie. Il existe toutefois des motifs de suspecter que l’infection est beaucoup plus répandue et il est dès lors conseillé aux banques du monde entier de contrôler proactivement sa présence éventuelle.
Les trois bandes identifiées évoluent vers l’utilisation de maliciels accompagnés de logiciels légitimes dans leurs opérations frauduleuses: pourquoi écrire une foule d’outils maliciels sur mesure, lorsque des utilitaires licites peuvent s’avérer tout aussi efficaces, et déclencher nettement moins d’alarmes? Mais en termes de furtivité, l’acteur GCMAN va encore plus loin: parfois, il peut réussir à attaquer une organisation sans faire usage d’aucun maliciel, et en se contentant d’exécuter des outils légitimes et de pentest. Dans les cas analysés par les experts de Kaspersky Lab, on a vu GCMAN utiliser les utilitaires Putty, VNC et Meterpreter pour évoluer latéralement à travers le réseau jusqu’à ce que les hackers atteignent une machine pouvant être utilisée pour transférer de l’argent vers des services d’e-currency sans alerter d’autres systèmes bancaires.
Dans une attaque observée par Kaspersky Lab, les cybercriminels étaient restés dans le réseau pendant une année et demi avant d’activer le vol. L’argent était transféré par paquets d’environ $200, plafond fixé pour les paiements anonymes en Russie. Toutes les minutes, le cadenceur CRON lançait un script malveillant, et une autre somme était transférée vers des comptes d’e-currency appartenant à un passeur d’argent. Les ordres de transactions étaient envoyés directement vers la passerelle de paiement amont de la banque et n’apparaissaient nulle part dans les systèmes internes de la banque.
Et enfin, Carbanak 2.0 marque la ré-émergence de la menace persistante avancée (APT) Carbanak, avec les mêmes outils et techniques mais un profil de victimes différent et des modalités d’encaissement innovantes. En 2015, les cibles de Carbanak 2.0 ne sont pas seulement les banques, mais les départements des budgets et de la comptabilité de toute organisation jugée intéressante. Dans un exemple observé par Kaspersky Lab, la bande Carbanak 2.0 avait ainsi accédé à une institution financière où elle s’était employée à trafiquer les documents accréditifs d’une grande société. Les informations avaient été modifiées au bénéfice d’un passeur d’argent, désormais identifié comme l’un des actionnaires de la société.
“Les attaques contre les institutions financières découvertes en 2015 révèlent une tendance inquiétante des cybercriminels a adopter de façon agressive des modalités d’action de type APT. La bande Carbanak fut juste la première d’une longue série: les cybercriminels apprennent aujourd’hui très vite comment utiliser de nouvelles techniques dans leurs opérations, et l’on en voit beaucoup passer de l’attaque des utilisateurs à l’attaque directe des banques . Leur logique est simple: aller là où est l’argent” avertit Golovanov. “Et nous entendons montrer comment et où, de manière spécifique, les acteurs de la cybermenace pourraient s’en prendre à votre argent. J’espère qu’après avoir entendu parler des attaques GCMAN, vous irez vous renseigner pour savoir comme vos serveurs bancaires sont protégés; dans le cas de Carbanak, nous conseillons de protéger la base de données qui contient les informations concernant les titulaires des comptes, et pas juste leurs soldes.”
Les produits de Kaspersky Lab détectent et bloquent avec succès les maliciels utilisés par les acteurs de la cybermenace Carbanak 2.0, Metel et GCMAN . La société diffuse aussi des indicateurs d'infection IOC (Indicators of Compromise) cruciaux et d’autres données pour aider les organisations à rechercher des traces de ces groupes d’attaques dans leurs réseaux d’entreprise. Cliquez ici pour plus d’informations.
Nous invitons instamment toutes les organisations à scanner soigneusement leurs réseaux pour y déceler la présence de Carbanak, Metel et GCMAN et, en cas de détection, de désinfecter leurs systèmes et de signaler l’intrusion aux autorités de réglementation.
Plus d'articles dans cette catégorie
24/04/2024 @ 16:21:26
Poster un commentaire
Android
Droit
Internet
Adobe
Programmation
