Kaspersky Lab waarschuwt voor twee cybercrimegroepen die in dezelfde stijl werken: Metel en GCMAN. Ze slaan hun slag bij financiële instellingen met behulp van verborgen verkenningsacties, aangepaste malware, legitieme software en nieuwe methodes.
De cybercriminele groep Metel heeft veel trucs achter de hand, maar is vooral interessant vanwege een opmerkelijk slimme werkwijze: door binnen een bank de controle te krijgen over machines die toegang hebben tot geldtransacties (zoals het callcenter van de bank of computers van de supportafdeling), kan de bende het terugdraaien van geldautomaattransacties automatiseren.
Deze hersteloptie zorgt ervoor dat het saldo op debetkaarten gelijk blijft, ongeacht het aantal verrichte geldautomaattransacties. In de voorbeelden die tot nu toe werden waargenomen, steelt de criminele groep geld door 's nachts door Russische steden te rijden en automaten te legen van een aantal banken. Hierbij gebruiken ze herhaaldelijk dezelfde debetkaarten, die zijn uitgegeven door de gecompromitteerde bank. In een tijdsbestek van slechts één nacht slaan ze hun slag.
Tijdens het forensisch onderzoek ontdekten deskundigen van Kaspersky Lab dat Metel-criminelen hun initiële infectie realiseren via speciaal geconstrueerde spear-phishing e-mails met schadelijke bijlagen, en via het Niteris exploit pack, dat zich richt op beveiligingslekken in de browser van het slachtoffer. Eenmaal in het netwerk, gebruiken de cybercriminelen allerlei tools om het netwerk te verkennen. Ze kapen de lokale domeincontroller, om vervolgens de computers van bankmedewerkers, die verantwoordelijk zijn voor de verwerking van kaartbetalingen, te lokaliseren en de controle erover over te nemen.
De Metel-groep blijft actief en het onderzoek naar de activiteiten ervan is nog in volle gang. Tot nu toe zijn er geen aanvallen geïdentificeerd buiten Rusland. Toch zijn er vermoedens dat de infectie veel algemener is en banken over de hele wereld worden geadviseerd om proactief te controleren op een infectie.
In één van de door Kaspersky Lab waargenomen aanvallen verbleven de cybercriminelen anderhalf jaar in het netwerk voordat de diefstal werd geactiveerd. Geld wordt overgeboekt in bedragen van ongeveer 180 euro, de bovengrens voor anonieme betalingen in Rusland.
De cybercriminele groep Metel heeft veel trucs achter de hand, maar is vooral interessant vanwege een opmerkelijk slimme werkwijze: door binnen een bank de controle te krijgen over machines die toegang hebben tot geldtransacties (zoals het callcenter van de bank of computers van de supportafdeling), kan de bende het terugdraaien van geldautomaattransacties automatiseren.
Deze hersteloptie zorgt ervoor dat het saldo op debetkaarten gelijk blijft, ongeacht het aantal verrichte geldautomaattransacties. In de voorbeelden die tot nu toe werden waargenomen, steelt de criminele groep geld door 's nachts door Russische steden te rijden en automaten te legen van een aantal banken. Hierbij gebruiken ze herhaaldelijk dezelfde debetkaarten, die zijn uitgegeven door de gecompromitteerde bank. In een tijdsbestek van slechts één nacht slaan ze hun slag.
Tijdens het forensisch onderzoek ontdekten deskundigen van Kaspersky Lab dat Metel-criminelen hun initiële infectie realiseren via speciaal geconstrueerde spear-phishing e-mails met schadelijke bijlagen, en via het Niteris exploit pack, dat zich richt op beveiligingslekken in de browser van het slachtoffer. Eenmaal in het netwerk, gebruiken de cybercriminelen allerlei tools om het netwerk te verkennen. Ze kapen de lokale domeincontroller, om vervolgens de computers van bankmedewerkers, die verantwoordelijk zijn voor de verwerking van kaartbetalingen, te lokaliseren en de controle erover over te nemen.
De Metel-groep blijft actief en het onderzoek naar de activiteiten ervan is nog in volle gang. Tot nu toe zijn er geen aanvallen geïdentificeerd buiten Rusland. Toch zijn er vermoedens dat de infectie veel algemener is en banken over de hele wereld worden geadviseerd om proactief te controleren op een infectie.
In één van de door Kaspersky Lab waargenomen aanvallen verbleven de cybercriminelen anderhalf jaar in het netwerk voordat de diefstal werd geactiveerd. Geld wordt overgeboekt in bedragen van ongeveer 180 euro, de bovengrens voor anonieme betalingen in Rusland.
Geen opmerkingen:
Een reactie posten
Opmerking: Alleen leden van deze blog kunnen een reactie posten.