Banda di cyber-criminali sgominata in Russia

Giu 05, 2016 Marco Schiaffino Attacchi, Hacking, Intrusione, News 0

Una delle regole d’oro dei cyber-criminali, soprattutto nell’est Europa, è quella di non agire sul territorio in cui risiedono. Chi la vìola, di solito, rischia grosso.

La conferma arriva dalla notizia di un maxi-arresto operato dalla FSB (l’equivalente russo dell’FBI) in 15 regioni, che ha portato in manette 50 membri di un’organizzazione criminale attiva dal 2011.

Nei primi anni di attività, i truffatori avrebbero agito per lo più prendendo di mira utenti privati, utilizza

ndo una tecnica piuttosto tradizionale: una volta infettati i PC delle vittime con un trojan, sottraevano i dati delle carte di credito e le utilizzavano per prelievi e trasferimenti di denaro.

Il metodo di distribuzione del malware adottato dai criminali faceva leva sulla compromissione di pagine Web considerate “affidabili”.

Il trojan utilizzato, invece, era il famigerato Lurk, un malware identificato da Kaspersky nel 2012 che non ha file di installazione, ma è residente nella memoria RAM. Una caratteristica, questa, che ne rende particolarmente difficile l’individuazione da parte degli antivirus.

A inizio 2016, però, la banda ha cambiato strumenti e modus operandi, puntando a compromettere direttamente i sistemi degli istituti di credito e prendendo di mira, in particolare, i conti correnti dell’istituto di credito Sberbank, uno dei più importanti della Federazione Russa.

Il gruppo ha preso di mira uno dei maggiori istituti di credito operanti sul territorio russo.

Stando alle ricostruzioni degli analisti, nei primi mesi di quest’anno l’operazione avrebbe fruttato la bellezza di 1,7 miliardi di rubli (circa 25 milioni di dollari).

Per mettere le mani sul malloppo i criminali hanno usato Buhtrap, un trojan il cui codice è stato reso pubblico a febbraio. L’obiettivo, in questo caso, erano i computer degli impiegati delle banche.

Le tecniche usate erano numerose, partendo dallo spear phishing, attuato confezionando delle email “su misura” che apparivano provenire da istituzioni legate al sistema creditizio e bancario, per arrivare all’uso di exploit kit e all’attacco di un sito di un produttore software usato per diffondere una versione infetta del suo programma.

Buhrtrap è un software estremamente specializzato, sviluppato per scardinare i sistemi di sicurezza di infrastrutture complesse come quelle delle banche, analizzato nei dettagli in questo report redatto da Group IB.

Una volta infettati i computer, il malware scarica e diffonde un worm che colpisce tutte le macchine collegate alla rete locale e garantisce la permanenza di Buhtrap nel sistema.

Per portare gli attacchi venivano usate email di phishing che sembravano provenire dagli uffici della Banca Centrale.

L’obiettivo dei criminali, però, era molto specifico: raggiungere i server dedicati alla gestione dell’AWS-CBC (Automated Working Station of the Central Bank Client), un sistema automatizzato che gestisce gli ordini di pagamento per conto della Banca Centrale.

Una volta ottenuto il controllo del sistema, i truffatori hanno potuto dirottare i pagamenti verso conti correnti da loro controllati.

Una strategia decisamente complessa e che è stata scoperta solo lo scorso marzo, quando sono partite le indagini per individuare gli autori della truffa. Ora sono arrivati gli arresti.

Condividi l'articolo