{"id":33253,"date":"2022-11-15T14:13:58","date_gmt":"2022-11-15T17:13:58","guid":{"rendered":"https:\/\/www.iri.edu.ar\/?p=33253"},"modified":"2024-09-10T14:02:15","modified_gmt":"2024-09-10T17:02:15","slug":"campana-carbanak-por-gustavo-wajsman","status":"publish","type":"post","link":"https:\/\/www.iri.edu.ar\/index.php\/2022\/11\/15\/campana-carbanak-por-gustavo-wajsman\/","title":{"rendered":"Campa\u00f1a \u201cCarbanak\u201d"},"content":{"rendered":"\n
\n

<\/a> Campa\u00f1a \u201cCarbanak\u201d por Gustavo Wajsman[1]<\/strong><\/a><\/h2>\n\n\n\n

En el presente trabajo vamos a dar cuenta en que consisti\u00f3 Carbanak o tambi\u00e9n llamada \u201ccampa\u00f1a Carbak\u201d, una APT, que atac\u00f3 principalmente entidades bancarias y financieras. Son un grupo de cibercrimales organizados dado que persiguieron como fin no robar ni alterar datos ni denegar servicios ni otro tipo de ciberdelito mas que encontrar la forma de robarles enormes suma de dineros a entidades de Estados Unidos( aunque oficialment lo niegan) , China, Alemania y Ucrania. Esta campa\u00f1a no solo tuvo como blanco al sistema financiero sino a particulares tambien.<\/p>\n\n\n\n

A finales de 2013 varios bancos, financieras y personas f\u00edsicas y jur\u00eddicas de distintos rubros fueron atacados por un grupo cibercriminal hasta entonces desconocido. Todos estos ataques usaron las mismas tecnicas para lograr alcanzar su fin criminal. Hasta el momento este grupo logro hacerse de un botin de mas de 1 billon de dolares y se cree que parte de el aun sigue operativo.<\/p>\n\n\n\n

DESARROLLO<\/h4>\n\n\n\n

Si bien en principio se lo definio como APT, los expertos coincides en que la unica caracteristica que de le puede endilgar es la persistencia.<\/p>\n\n\n\n

Su nombre en principio proviene de puerta trasera Carbanak ya que est\u00e1 basada en Carberp y el nombre del archivo de configuraci\u00f3n es \u00abanak.cfg.<\/p>\n\n\n\n

Los ciberdelincuentes se infiltaban en las redes de las victimas para lograr accedeer a sus cuentas y robarles millones d edolares y luego los abandonaban. Tambien hacian salir en diferentes cajeros dinero espontaneamente que algun complice retiraba.<\/p>\n\n\n\n

Los ciberdelincuentes usaron tecnicas de spear phishing envi\u00e1ndoles emails a sus v\u00edctimas que simulaban p\u00e1ginas oficiales.<\/p>\n\n\n\n

Lo que hac\u00edan los exploits era aprovechar vulnerabilidades del paquete Office 2003, 2007 y 2010.<\/p>\n\n\n\n

Lo novedoso de Carbanak fue el cambio de p\u00fablico blanco dado que usualmente se atacaba a personas particulares y esta campa\u00f1a fue directamente contra los bancos y entidades financieras.<\/p>\n\n\n\n

Si bien el primer caso detectado fue en diciembre de 2013, el pico fue a mediados de 2014. Se estima que cada ataque o robo propiamente dicho tomo entre dos a cuatro meses por entidad bancaria o financiera. Esta campa\u00f1a sigue activa en la actualidad.<\/p>\n\n\n\n

El comienzo de Carbanak tuvo lugar en un banco de Ucrania. Ellos se dieron cuenta de que les estaban robando dinero de los cajeros autom\u00e1ticos. En principio se penso que se trataba del malware Tyubkyn. Luego esta hipotesis fue descartada al investigar el disco rigido del cajero autom\u00e1tico que si bien no se hallo nada de lo esperado se pudo observar una configuraci\u00f3n VPN bastante extra\u00f1a (la m\u00e1scara de red estaba configurada en 172.0.0.0).<\/p>\n\n\n\n

Al principio los investigadore spensaron que era un malware mas. Pero luego de unos meses un CISO de un banco ruso detecto que se estaban enviando datos desde su controlador de dominio a la Rep\u00fablica Popular China.<\/p>\n\n\n\n

Se encontro el malware y se escribio un script por lotes para eliminar el mismo de la pc infectada y luego se ejecuto el mismo script en todas las computadoras de ese banco ruso. Ese fue el trauma del primer encuentro con el malware carbanak.<\/p>\n\n\n\n

Una vez realizada las pericias forenses se determino que todo empezo con un correo electronico de spear phishing que llevaba adjunto un archivo CPL. Este una vez ejecutado el codigo Shell, instala una puerta trasera basada en Carbep. Y a esta puerta trasera es la que hoy llamamos Carbanak.en realidad este dise\u00f1o fue originalmente concebido para realizar realizado operaciones de espionaje y control remoto. Una vez dentro de la red, los ciberdelincuentes saltan a traves de ella hasta encontrar lo que les interesa: robar dinero de sus victimas.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Las investigaciones demuestran que luego de Ucrania, se traslado a Moscu y las victimas en su mayoria fueron de Europa del Este. Sin embargo luego la empresa que investigo este Malware y las agencias de la ley pudieron determinar que tambien afecto a EEEUU, Alemania y China y que actualmente la banda de cibercriminales se expanden hacia Malasia, Nepal, Kuwait y varias regiones de \u00c1frica, entre otros.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Desde el punto de vista tecnico CARBANAK se trata de una puerta trasera con funciones y capacidades para robar datos y una arquitectura de complemento. Algunas de estas capacidades son: registro de claves, captura de video de escritorio, VNC, captura de formularios HTTP, administraci\u00f3n de sistemas de archivos, transferencia de archivos, t\u00fanel TCP, proxy HTTP, destrucci\u00f3n de sistema operativo, robo de datos de POS y Outlook y shell inverso.<\/p>\n\n\n\n

Veamos en detalle algunas de sus caracteristicas:<\/p>\n\n\n\n

Monitoreo de hilos<\/h4>\n\n\n\n

Opcionalmente, la puerta trasera puede iniciar uno o m\u00e1s subprocesos que realizan un monitoreo continuo para diversos fines, como se describe en la Tabla 1.<\/p>\n\n\n\n

\n
Nombre del hilo<\/strong><\/td>Descripci\u00f3n<\/strong><\/td><\/tr>
Registrador de claves<\/td>Registra las pulsaciones de teclas para los procesos configurados y las env\u00eda al servidor de comando y control (C2).<\/td><\/tr>
capturador de formularios<\/td>Supervisa el tr\u00e1fico HTTP en busca de datos del formulario y los env\u00eda al servidor C2<\/td><\/tr>
monitor de punto de venta<\/td>Supervisa los cambios en los registros almacenados en C:\\NSB\\Coalition\\Logs y nsb.pos.client.log y env\u00eda datos analizados al servidor C2<\/td><\/tr>
monitor PST<\/td>Busca recursivamente archivos de tabla de almacenamiento personal (PST) de Outlook reci\u00e9n creados dentro de los directorios de usuarios y los env\u00eda al servidor C2.<\/td><\/tr>
Monitor de proxy HTTP<\/td>Supervisa el tr\u00e1fico HTTP para solicitudes enviadas a servidores proxy HTTP, guarda la direcci\u00f3n del proxy y las credenciales para uso futuro.<\/td><\/tr><\/tbody><\/table><\/figure>\n<\/div>\n\n\n\n
Tabla 1: Monitoreo de subprocesos<\/h5>\n\n\n\n

Comandos<\/h4>\n\n\n\n

Adem\u00e1s de sus capacidades de administraci\u00f3n de archivos, esta puerta trasera de robo de datos admite 34 comandos que se pueden recibir desde el servidor C2. Despu\u00e9s del descifrado, estos 34 comandos son texto sin formato con par\u00e1metros delimitados por espacios, de manera muy similar a una l\u00ednea de comando. Los nombres de los comandos y par\u00e1metros se codifican antes de ser comparados por el binario, lo que dificulta la recuperaci\u00f3n de los nombres originales de los comandos y par\u00e1metros. La Tabla 2 enumera estos comandos.<\/p>\n\n\n\n

\n
Hash de comando<\/strong><\/td>Nombre del comando<\/strong><\/td>Descripci\u00f3n<\/strong><\/td><\/tr>
0x0AA37987<\/td>cargarconfig<\/td>Ejecuta cada comando especificado en el archivo de configuraci\u00f3n (consulte la secci\u00f3n Configuraci\u00f3n).<\/td><\/tr>
0x007AA8A5<\/td>estado<\/td>Actualiza el valor del estado (consulte la secci\u00f3n Configuraci\u00f3n).<\/td><\/tr>
0x007CFABF<\/td>video<\/td>Grabaci\u00f3n de v\u00eddeo de escritorio<\/td><\/tr>
0x06E533C4<\/td>descargar<\/td>Descarga el ejecutable y lo inyecta en un nuevo proceso.<\/td><\/tr>
0x00684509<\/td>ammy<\/td>Herramienta de administraci\u00f3n Ammyy<\/td><\/tr>
0x07C6A8A5<\/td>actualizar<\/td>Actualizaciones propias<\/td><\/tr>
0x0B22A5A7<\/td> <\/td>Agregar\/actualizar klgconfig (an\u00e1lisis incompleto)<\/td><\/tr>
0x0B77F949<\/td>httpproxy<\/td>Inicia el proxy HTTP<\/td><\/tr>
0x07203363<\/td>Killos<\/td>Hace que la computadora no pueda arrancar limpiando el MBR<\/td><\/tr>
0x078B9664<\/td>reiniciar<\/td>Reinicia el sistema operativo<\/td><\/tr>
0x07BC54BC<\/td>t\u00fanel<\/td>Crea un t\u00fanel de red.<\/td><\/tr>
0x07B40571<\/td>administrador<\/td>Agrega un nuevo servidor C2 o direcci\u00f3n proxy para el protocolo pseudo-HTTP<\/td><\/tr>
0x079C9CC2<\/td>servidor<\/td>Agrega un nuevo servidor C2 para protocolo binario personalizado<\/td><\/tr>
0x0007C9C2<\/td>usuario<\/td>Crea o elimina una cuenta de usuario de Windows<\/td><\/tr>
0x000078B0<\/td>rdp<\/td>Habilita RDP concurrente (an\u00e1lisis incompleto)<\/td><\/tr>
0x079BAC85<\/td>seguro<\/td>Agrega paquete de notificaciones (an\u00e1lisis incompleto)<\/td><\/tr>
0x00006ABC<\/td>del<\/td>Elimina archivo o servicio<\/td><\/tr>
0x0A89AF94<\/td>iniciocmd<\/td>Agrega un comando al archivo de configuraci\u00f3n (consulte la secci\u00f3n Configuraci\u00f3n)<\/td><\/tr>
0x079C53BD<\/td>ejecutarme<\/td>Descarga el ejecutable y lo inyecta directamente en un nuevo proceso.<\/td><\/tr>
0x0F4C3903<\/td>contrase\u00f1as de inicio de sesi\u00f3n<\/td>Enviar detalles de cuentas de Windows al servidor C2<\/td><\/tr>
0x0BC205E4<\/td>captura de pantalla<\/td>Toma una captura de pantalla del escritorio y la env\u00eda al servidor C2<\/td><\/tr>
0x007A2BC0<\/td>dormir<\/td>La puerta trasera duerme hasta la fecha especificada<\/td><\/tr>
0x0006BC6C<\/td>doble<\/td>Desconocido<\/td><\/tr>
0x04ACAFC3<\/td> <\/td>Subir archivos al servidor C2<\/td><\/tr>
0x00007D43<\/td>vnc<\/td>Ejecuta el complemento VNC<\/td><\/tr>
0x09C4D055<\/td>archivo de ejecuci\u00f3n<\/td>Ejecuta el archivo ejecutable especificado<\/td><\/tr>
0x02032914<\/td>robot asesino<\/td>Desinstala la puerta trasera<\/td><\/tr>
0x08069613<\/td>proceso de lista<\/td>Devuelve la lista de procesos en ejecuci\u00f3n al servidor C2<\/td><\/tr>
0x073BE023<\/td>complementos<\/td>Cambiar el protocolo C2 utilizado por los complementos<\/td><\/tr>
0x0B0603B4<\/td> <\/td>Descargue y ejecute shellcode desde la direcci\u00f3n especificada<\/td><\/tr>
0x0B079F93<\/td>proceso de matanza<\/td>Termina el primer proceso encontrado especificado por nombre<\/td><\/tr>
0x00006A34<\/td>cmd<\/td>Inicia un shell inverso al servidor C2<\/td><\/tr>
0x09C573C7<\/td>enchufe de ejecuci\u00f3n<\/td>Control de complementos<\/td><\/tr>
0x08CB69DE<\/td>ejecuci\u00f3n autom\u00e1tica<\/td>Puerta trasera de actualizaciones<\/td><\/tr><\/tbody><\/table><\/figure>\n<\/div>\n\n\n\n
Tabla 2: Comandos admitidos<\/h5>\n\n\n\n

Configuraci\u00f3n<\/h4>\n\n\n\n

Un archivo de configuraci\u00f3n reside en un archivo bajo el directorio de instalaci\u00f3n de la puerta trasera con la extensi\u00f3n .bin. Contiene comandos en la misma forma que los enumerados en la Tabla 2 que la puerta trasera ejecuta autom\u00e1ticamente cuando se inicia. Estos comandos tambi\u00e9n se ejecutan cuando se emite el comando loadconfig. Este archivo se puede comparar con un script de inicio para la puerta trasera. El comando de estado establece una variable global que contiene una serie de valores booleanos representados como valores ASCII ‘0’ o ‘1’ y tambi\u00e9n se agrega al archivo de configuraci\u00f3n. Algunos de estos valores indican qu\u00e9 protocolo C2 usar, si se ha instalado la puerta trasera y si el subproceso de monitoreo PST se est\u00e1 ejecutando o no. Aparte del comando de estado, todos los comandos en el archivo de configuraci\u00f3n se identifican por el valor decimal de su hash en lugar de su nombre en texto plano. Ciertos comandos, cuando se ejecutan, se agregan a la configuraci\u00f3n para que persistan (o formen parte de) los reinicios. Los comandos loadconfig y state se ejecutan durante la inicializaci\u00f3n, creando efectivamente el archivo de configuraci\u00f3n si no existe y escribiendo el comando state en \u00e9l.<\/p>\n\n\n\n

La Figura 1 y la Figura 2 ilustran algunos archivos de configuraci\u00f3n decodificados de muestra que hemos encontrado en nuestras investigaciones.<\/p>\n\n\n\n

Figura 1: Archivo de configuraci\u00f3n que agrega un nuevo servidor C2 y fuerza a la puerta trasera de robo de datos a usarlo<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Figura 2: Archivo de configuraci\u00f3n que agrega t\u00faneles TCP y graba video de escritorio<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Comando y control<\/h4>\n\n\n\n

CARBANAK se comunica con sus servidores C2 mediante pseudo-HTTP o un protocolo binario personalizado.<\/p>\n\n\n\n

Protocolo pseudo-HTTP<\/h4>\n\n\n\n

Los mensajes para el protocolo pseudo-HTTP est\u00e1n delimitados con el ‘|’ personaje. Un mensaje comienza con una ID de host compuesta mediante la concatenaci\u00f3n de un valor hash generado a partir del nombre de host y la direcci\u00f3n MAC de la computadora con una cadena probablemente utilizada como c\u00f3digo de campa\u00f1a. Una vez que se ha formateado el mensaje, se intercala entre dos campos adicionales de cadenas generadas aleatoriamente de caracteres alfab\u00e9ticos en may\u00fasculas y min\u00fasculas. En la Figura 3 y la Figura 4, respectivamente, se proporciona un ejemplo de un mensaje de sondeo de comando y una respuesta al comando listprocess.<\/p>\n\n\n\n

Figura 3: Ejemplo de mensaje de sondeo de comando<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Figura 4: Ejemplo de mensaje de respuesta de comando<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Los mensajes se cifran utilizando la implementaci\u00f3n RC2 de Microsoft en modo CBC con relleno PKCS#5. Luego, el mensaje cifrado se codifica en Base64, reemplazando todos los caracteres ‘\/’ y ‘+’ por ‘.’ y ‘-‘ caracteres, respectivamente. El vector de inicializaci\u00f3n (IV) de ocho bytes es una cadena generada aleatoriamente que consta de caracteres alfab\u00e9ticos en may\u00fasculas y min\u00fasculas. Se antepone al mensaje cifrado y codificado.<\/p>\n\n\n\n

Luego, la carga \u00fatil codificada se hace para que parezca un URI al insertar un n\u00famero aleatorio de caracteres ‘\/’ en ubicaciones aleatorias dentro de la carga \u00fatil codificada. Luego, el malware agrega una extensi\u00f3n de script (php, bml o cgi) con un n\u00famero aleatorio de par\u00e1metros aleatorios o una extensi\u00f3n de archivo de la siguiente lista sin par\u00e1metros: gif, jpg, png, htm, html, php.<\/p>\n\n\n\n

Este URI se utiliza luego en una solicitud GET o POST. El cuerpo de la solicitud POST puede contener archivos en formato archivador. En la Figura 5 se muestra un ejemplo de solicitud GET.<\/p>\n\n\n\n

Figura 5: Ejemplo de baliza pseudo-HTTP<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

El protocolo pseudo-HTTP utiliza cualquier proxy descubierto por el hilo de monitoreo del proxy HTTP o agregado por el comando adminka. La puerta trasera tambi\u00e9n busca configuraciones de proxy para usar en el registro en HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings y para cada perfil en el archivo de configuraci\u00f3n de Mozilla Firefox en %AppData%\\Mozilla\\Firefox\\<ProfileName>\\prefs.js.<\/p>\n\n\n\n

Protocolo binario personalizado<\/h4>\n\n\n\n

La Figura 6 describe la estructura del protocolo binario personalizado del malware. Si un mensaje tiene m\u00e1s de 150 bytes, se comprime con un algoritmo no identificado. Si un mensaje tiene m\u00e1s de 4096 bytes, se divide en fragmentos comprimidos. Este protocolo ha sufrido varios cambios a lo largo de los a\u00f1os, y cada versi\u00f3n se basa de alguna manera en la versi\u00f3n anterior. Es probable que estos cambios se introdujeran para hacer que las firmas de red existentes fueran ineficaces y dificultar la creaci\u00f3n de firmas.<\/p>\n\n\n\n

Figura 6: Formato de mensaje de protocolo binario<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Versi\u00f3n 1<\/h4>\n\n\n\n

En la primera versi\u00f3n del protocolo binario, descubrimos que los cuerpos de los mensajes que se almacenan en el campo <chunkData> simplemente se realizan mediante operaci\u00f3n XOR con el ID del host. El mensaje inicial no est\u00e1 cifrado y contiene el ID del host.<\/p>\n\n\n\n

Versi\u00f3n 2<\/h4>\n\n\n\n

En lugar de utilizar el ID del host como clave, esta versi\u00f3n utiliza una clave XOR aleatoria de entre 32 y 64 bytes de longitud que se genera para cada sesi\u00f3n. Esta clave se env\u00eda en el mensaje inicial.<\/p>\n\n\n\n

Versi\u00f3n 3<\/h4>\n\n\n\n

La versi\u00f3n 3 agrega cifrado a los encabezados. Los primeros 19 bytes de los encabezados de los mensajes (hasta el campo <hdrXORKey2>) se someten a operaci\u00f3n XOR con una clave de cinco bytes que se genera aleatoriamente por mensaje y se almacena en el campo <hdrXORKey2>. Si el campo <flag> del encabezado del mensaje es mayor que uno, la clave XOR utilizada para cifrar los cuerpos de los mensajes se repite a la inversa al cifrar y descifrar mensajes.<\/p>\n\n\n\n

Versi\u00f3n 4<\/h4>\n\n\n\n

Esta versi\u00f3n agrega un poco m\u00e1s de complejidad al esquema de cifrado del encabezado. Los encabezados est\u00e1n cifrados XOR con <hdrXORKey1> y <hdrXORKey2> combinados e invertidos.<\/p>\n\n\n\n

Versi\u00f3n 5<\/h4>\n\n\n\n

La versi\u00f3n 5 es el m\u00e1s sofisticado de los protocolos binarios que hemos visto. Se genera una clave de sesi\u00f3n AES de 256 bits y se utiliza para cifrar los encabezados y cuerpos de los mensajes por separado. Inicialmente, la clave se env\u00eda al servidor C2 con el mensaje completo y los encabezados cifrados con el algoritmo de intercambio de claves RSA. Todos los mensajes posteriores se cifran con AES en modo CBC. El uso de criptograf\u00eda de clave p\u00fablica hace que el descifrado de la clave de sesi\u00f3n no sea factible sin la clave<\/p>\n\n\n\n

Evoluci\u00f3n<\/h4>\n\n\n\n

El protocolo binario de CARBANAK ha sufrido varios cambios importantes a lo largo de los a\u00f1os. La Figura 7 ilustra una l\u00ednea de tiempo aproximada. Puede que no sea del todo exacta pero nos da una idea general de cu\u00e1ndo ocurrieron los cambios. Se ha observado que algunas versiones de esta puerta trasera de robo de datos utilizan versiones obsoletas del protocolo. Esto puede sugerir que varios grupos de operadores est\u00e9n compilando sus propias versiones de esta puerta trasera de robo de datos de forma independiente.<\/p>\n\n\n\n

Figura 7: Cronolog\u00eda de las versiones del protocolo binario<\/h5>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

 Apreciacion de situacion<\/h4>\n\n\n\n

Casi toda la informcion disponible sobre el malware CARBANAK dan cuenta de que el \u00abGrupo Carbanak\u00bb estaria detr\u00e1s de la actividad maliciosa asociada con esta puerta trasera de robo de datos. FireEye iSIGHT Intelligence ha rastreado varias campa\u00f1as generales independientes que emplean la herramienta CARBANAK y otras puertas traseras asociadas, como DRIFTPIN (tambi\u00e9n conocido como Toshliph<\/em>). Con los datos disponibles en este momento, no est\u00e1 claro qu\u00e9 tan interconectadas est\u00e1n estas campa\u00f1as: si todas est\u00e1n orquestadas directamente por el mismo grupo criminal, o si estas campa\u00f1as fueron perpetradas por actores poco afiliados que comparten malware y t\u00e9cnicas.<\/p>\n\n\n\n

FIN7<\/h4>\n\n\n\n

En todas las investigaciones de Mandiant hasta la fecha en las que se descubri\u00f3 la puerta trasera CARBANAK, la actividad se atribuy\u00f3 al grupo de amenazas FIN7. FIN7 ha estado extremadamente activo contra las industrias hotelera y de restauraci\u00f3n de EE. UU. desde mediados de 2015.<\/p>\n\n\n\n

FIN7 utiliza CARBANAK como herramienta posterior a la explotaci\u00f3n en fases posteriores de una intrusi\u00f3n para consolidar su presencia en una red y mantener el acceso, utilizando con frecuencia el comando de video para monitorear a los usuarios y conocer la red v\u00edctima, as\u00ed como el comando de t\u00fanel para conexiones proxy. En porciones aisladas del entorno de la v\u00edctima. FIN7 ha utilizado constantemente certificados de firma de c\u00f3digo adquiridos legalmente para firmar sus cargas \u00fatiles CARBANAK. Finalmente, FIN7 ha aprovechado varias t\u00e9cnicas nuevas que no hemos observado en otras actividades relacionadas con CARBANAK.<\/p>\n\n\n\n

Proofpoint inform\u00f3 inicialmente sobre una campa\u00f1a generalizada dirigida a bancos y organizaciones financieras<\/a><\/strong> en todo Estados Unidos y Medio Oriente a principios de 2016. Identificamos varias organizaciones adicionales en estas regiones, as\u00ed como en el sudeste asi\u00e1tico y el suroeste de Asia, que estaban siendo atacadas por los mismos atacantes.<\/p>\n\n\n\n

Este grupo de actividad persisti\u00f3 desde finales de 2014 hasta principios de 2016. En particular, la infraestructura utilizada en esta campa\u00f1a se superpuso con LAZIOK, NETWIRE y otro malware dirigido a entidades financieras similares en estas regiones.<\/p>\n\n\n\n

DRIFTPIN (tambi\u00e9n conocido como Spy.Agent.ORM<\/em> y Toshliph<\/em>) se ha asociado anteriormente con CARBANAK en varias campa\u00f1as. Lo hemos visto implementado en el phishing inicial por parte de FIN7 en la primera mitad de 2016. Adem\u00e1s, a finales de 2015, ESET inform\u00f3 sobre ataques asociados a CARBANAK<\/a><\/strong> , detallando una campa\u00f1a de phishing dirigido a bancos rusos y de Europa del Este que utilizaban DRIFTPIN como carga \u00fatil maliciosa. Cyphort Labs tambi\u00e9n revel\u00f3 que se hab\u00edan implementado variantes de DRIFTPIN asociadas con este grupo de actividad a trav\u00e9s del kit de explotaci\u00f3n RIG colocado en los sitios web de dos bancos ucranianos comprometidos.<\/a><\/strong><\/p>\n\n\n\n

FireEye iSIGHT Intelligence observ\u00f3 esta ola de phishing dirigido a una gran variedad de objetivos, incluidas instituciones financieras estadounidenses y empresas asociadas con el comercio y las actividades mineras de Bitcoin. Este grupo de actividad contin\u00faa activo hasta el d\u00eda de hoy, dirigido a entidades similares. Detalles adicionales sobre esta \u00faltima actividad est\u00e1n disponibles en el Portal MySIGHT de FireEye iSIGHT Intelligence.<\/p>\n\n\n\n

Conclusi\u00f3n<\/h4>\n\n\n\n

Realmente es complejo determinar si existe una sola organizaci\u00f3n de Carbanak o realemnte como cree el suscripto esta es parte de la Criminalidad Organizada Transnacional y en consecuencia es utilizada por distintas organzaciones criminales y cada una de esta le agrega su propio condimento. Por lo visto al menos algunos de los ciberdelincuentes tienen acceso al codigo fuente dado que este esta encriptado y pueden modificarlo.<\/p>\n\n\n\n

Tambien es muy posible que algunos de ellos est\u00e9n compilando sus propias versiones de la puerta trasera de forma independiente.<\/p>\n\n\n\n

El futuro de la cibercriminalidad organizada nos permitira ver con el correr de los tiempos mas campa\u00f1as de este tipo cada vez mas sofisticadas y con otros modus operandi. Carbanak es solo la punta del iceberg que utilizaran estas organizaciones guiadas solo por el \u00e1nimo de lucro o de ganancias materiales. Su caracteristica principal es que son grupos criminales con permanencia en el tiempo, que persiguen fines economicos y que actuam en forma transnacional y anonima con lo cual se les dificultara a las agencias de la ley evitar estas acciones criminales asi como su individualizacion y enjuiciamiento de todos sus miembros.<\/p>\n\n\n\n

BIBLIOGRAF\u00cdA:<\/h4>\n\n\n\n
\n
The Great Bank Robbery: the Carbanak APT<\/a><\/blockquote>