Le cybergang Carbanak s’attaque aux banques du monde entier

Le célèbre cybergang Carbanak est de retour, ciblant des banques en Europe, au Moyen-Orient et aux Etats-Unis.

Le groupe Carbanak est notoirement connu pour s’être infiltré dans divers établissements financiers et avoir dérobé plusieurs millions de dollars en perçant et exploitant le fonctionnement interne des réseaux de traitement des paiements, des distributeurs automatiques et des systèmes de gestion des transactions de ses victimes. 

Récemment Proofpoint détectait des campagnes Carbanak destinées à :
- Cibler de hauts responsables d’établissements financiers ou des décideurs, notamment dans le secteur de la finance au Moyen-Orient, aux Etats-Unis et en Europe ;
- Propager des e-mails de spear-phishing contenant des URL, macros et autres documents infectés ;
- Exploiter Spy.Sekur (malware Carbanak) et des chevaux de Troie d’accès distant (RAT) tels que jRAT, Netwire, Cybergate ou autres dans le cadre de leurs opérations.

En effet le 1er mars 2016, un e-mail ciblé était détecté, adressé à des destinataires triés sur le volet, travaillant pour des banques, des établissements financiers et plusieurs services professionnels ou éditeurs de logiciels d’entreprise. Ces cibles étaient des personnes haut placées (dirigeants, cadres supérieurs, responsables au niveau national ou régional, chefs des opérations…) et, en majorité, basées dans des pays du Moyen-Orient : Emirats Arabes Unis, Liban, Koweït, Yémen, etc.

Le 4 mars, d’autres e-mails ciblés étaient envoyés à des personnes – ainsi qu’à des adresses de support et opérationnelles – dans le secteur des services financiers, des médias mais aussi à d’autres destinataires apparemment sans rapport, dans le domaine de la lutte anti-incendie, de la sécurité, de la climatisation et du chauffage (HVAC). Tous exercent des fonctions en lien avec la finance et l’assistance (gestionnaire de compte, contrôleur de crédit, support informatique…). A la différence de la campagne décrite ci-dessus, la majorité des cibles appartiennent à des entreprises américaines et européennes.

Le groupe Carbanak est à l’origine d’un certain nombre d’attaques depuis 2013, caractérisées pour la plupart par des campagnes de type APT (menaces persistantes avancées) visant diverses cibles avec différents malwares. En l’occurrence, le groupe utilise de nouveaux kits d’exploitation de vulnérabilités, documents contenant des macros malveillantes et outils RAT pour toucher de nouvelles victimes en dehors de son terrain de chasse habituel en Russie. Carbanak a ainsi lancé des campagnes à base de pièces jointes, d’URL infectées et de malwares sophistiqués contre des cibles aux Etats-Unis et au Moyen-Orient. Il est également sorti de son cœur de cible – les établissements financiers – pour s’attaquer à des secteurs apparemment sans lien (lutte anti-incendie, sécurité, HVAC). Cependant, comme constaté notamment à l’occasion du piratage du distributeur Target, les fournisseurs et sous-traitants peuvent offrir aux auteurs des attaques un point d’accès à leur cible véritable.

Si rien n'est fait rapidement il est fort probable que les activités du groupe se poursuivent.