Carbanak este o campanie de tip APT (amenințare avansată și persistentă), care folosește instrumente de atac direcționate împotriva instituțiilor financiare din toată lumea, scopul principal fiind furtul.
Gruparea a fost descoperită în 2015 de Kaspersky Lab împreună cu INTERPOL, EUROPOL și alte instituții de aplicare a legii, pe baza unui incident din 2013. La momentul respectiv, grupul folosea mai multe instrumente, printre care și un program denumit Carbanak. După publicarea descoperirilor Kaspersky Lab în 2015, grupul și-a adaptat resursele și a început să folosească programul malware Cobalt, precum și denumirile serverelor și infrastructura acestuia.
Grupul folosește tehnici de inginerie socială, precum și e-mail-uri de phishing cu fișiere infectate (de exemplu, documente Word care conțin exploit-uri), pentru a ataca angajații instituțiilor financiare de interes. Odată ce o victimă este infectată, atacatorii instalează un backdoor pentru spionaj, furt de date și management de la distantă asupra sistemului infectat, căutând sistemele de tranzacții financiare.
La momentul descoperirii, cercetătorii Kaspersky Lab au estimat că grupul Carbanak a furat aproape un miliard de dolari. Din 2013, au dat lovituri la peste 100 de bănci, sisteme de e-payment și alte organizații financiare, în cel puțin 30 de țări din Europa, Asia, America de Nord și de Sud și din alte regiuni, furând miliarde de dolari de la victime. Mai multe bănci din România au fost atacate de gruparea Carbanak/Cobalt.
Pe baza cercetării asupra Carbanak, în 2016, Kaspersky Lab a descoperit două grupuri care acționau foarte asemănător cu Carbanak – Metel și GCMAN. Acestea atacau organizații financiare care foloseau stilul silențios al APT-urilor și malware personalizat, împreună cu software legitim și cu metode noi de a scoate bani. Alte grupuri au implementat și ele tehnici similare cu cele ale Carbanak, precum și tactici și proceduri – de exemplu, Lazarus și Silence.
Având în vedere scara internațională a activităților acestor grupări, credem că sunt zeci de persoane implicate în această activitate de infracționalitate cibernetică. Artefactele descoperite în fișierele malware și în computerele victimelor sugerează că autorii din spatele programului Carbanak sunt vorbitori de limbă rusă. De asemenea, pentru a putea acționa în fiecare țară, grupul căuta, de regulă, un vorbitor nativ.