Carbanak-gruppen skiljer sig i stort från tidigare attacker då pengarna har stulits direkt från bankerna, istället för att angripa kunderna. Gruppen har sedan 2013 gjort försök att angripa uppemot 100 banker, e-betalningssystem och andra finansiella institutioner i 30 länder. Angreppen har inte upphört.

Enligt data från Kaspersky Lab, har Carbanak riktat sig mot finansiella organisationer ibland annat Ryssland, USA, Tyskland, Kina, Ukraina, Kanada, Hong Kong, Taiwan, Rumänien, Frankrike, Spanien, Norge, Indien, Storbritannien, Polen, Pakistan, Nepal, Marocko, Island, Irland, Tjeckien, Schweiz, Brasilien, Bulgarien och Australien.

Det största summorna tros ha stulits genom att angriparna har hackat sig in i bankerna och stulit upp till tio miljoner dollar i varje raid. Varje attack har i genomsnitt tagit mellan två och fyra månader att genomföra, från att infektera den första datorn i bankens företagsnätverk till att slutligen stjäla pengarna.

Det första steget i varje rån var för cyberbrottslingarna att genom spjutfiske (dvs. nätfiske riktat mot en specifik person) ta sig in i en anställds dator för att plantera ett skadligt program. Det gjorde det möjligt att därefter ta sig vidare i det interna nätverket för att leta upp administratörers datorer för videoövervakning. Därmed kunde cyberbrottslingarna se och spela in allt från skärmar hos anställda som arbetade med systemen för kontantöverföringar. Rånarna kunde ta reda på alla detaljer i banktjänstemannens dagliga arbete och kunde sedan imitera processen för att överföra pengar från banken.

Hur pengarna stals
Bedragarna använde internetbanksystem eller internationella e-betalningssystem för att överföra pengar från bankernas konton till sina egna. Pengarna sattes sedan in på banker i Kina eller USA. De experter som har granskat stölderna utesluter inte att andra banker i andra länder har använts som mottagare.

I andra lyckades brottslingarna öka kontobalansen och sedan överföra samma summa från kontot (exempelvis kunde de öka balansen på ett konto från 1 000 dollar till 10 000 dollar och föra över 9 000 dollar till sitt eget konto). Kontohavaren märker ingenting eftersom dennes pengar förblir orörda.

Brottslingarna tog dessutom kontroll över bankers bankomater och fick dem att ge ut kontanter vid en förutbestämd tidpunkt då en hantlangare var på plats för att ta emot pengarna.

– Bankstölderna var överraskande eftersom det inte spelade någon roll för brottslingarna vilka mjukvaruprogram bankerna använde, säger Sergey Golovanov, säkerhetsforskare på Kaspersky Lab.

även om en bank har unikt ett program sitter den alltså inte säkert. Angriparna behövde inte ens hacka sig in i bankernas tjänster: när de väl hade tagit sig in i nätverket tog de reda på hur de kunde gömma det skadliga programmet bakom legitima funktioner. Det var ett väldigt smart och professionellt utfört cyberrån.

– Angreppen visar återigen att kriminella kommer att utnyttja sårbarheter i alla sorters system. Det är också tydligt att inga sektorer är immuna mot angrepp, utan alla typer av företag måste konstant se över sin säkerhet. Att identifiera nya trender i cyberbrottsligheten är ett av våra huvudområden där INTERPOL samarbetar med Kaspersky Lab för att hjälpa både offentliga och privata sektorer att skydda sig, säger Sanjay Virmani, chef för INTERPOL Digital Crime Centre.

Kaspersky Lab uppmanar alla finansiella organisationer att noggrant söka igen sina nätverk efter spår från Carbanak och, om de hittar något, rapportera intrång till polismyndigheter.