Dal settore Bancario a quello Alberghiero: la pericolosa professionalità di Carbanak cambia rotta

Carbanak, la cyber gang che rubò un bilione di dollari alle banche, punta ora su alberghi e ristoranti e lo fa con temibile abilità.

Il cybercrime ci riguarda sempre più da vicino e ormai lo sappiamo bene.

Strutture molto vicine ai cittadini sono già da tempo target succulento per hackers da ogni dove.

Anche Carbanak, cybergang nota per aver rubato un totale di un bilione di dollari da 100 banche sparse per il globo, sembra aver deciso di cambiare strategia e puntare all’industria alberghiera e alla ristorazione.

Secondo gli esperti di Trustwave nel corso delle ultime settimane Carbanak avrebbe liberato nel web nuovi malware contro vari call centers al servizio di alberghi e strutture affini.

La tecnica è il “caro e vecchio” phishing: i dipendenti ricevono emails apparentemente innocue ma in realtà contenenti documenti infetti.

Una parte è dunque giocata dall’ingegneria sociale, uno degli aspetti più redditizi dell’intero cyber crime, ovvero lo studio del comportamento individuale al fine di carpire informazioni utili.

Non si tratta solo di questo, la potenza della nuova mossa di Carbanak sta soprattutto nel modo in cui è tecnicamente composta; in generale si tratta infatti di un sistema d’attacco molto particolare, gli esperti di Trustwave sono rimasti particolarmente colpiti dalla persistenza, professionalità e pervasività che lo caratterizza.

La particolare composizione con cui opera lo rende “poliedrico” e in grado di sfuggire agli antivirus che tentano di bloccarlo.

Il meccanismo di contatto con la società vittima non avviene esclusivamente tramite posta elettronica, nei casi analizzati da Trustwave infatti l’attaccante utilizza la linea telefonica per fingersi un cliente che ha riscontrato problemi con i servizi online del target; non appena l’allegato infetto viene aperto la chiamata viene interrotta.

L’attachment maligno è un documento scritto in Word contenente un programma codificato in VBScript in grado di rubare informazioni di sistema, fare screenshots del desktop e installare malware.

Il primo passo è proprio l’installazione nella macchina target di un malware che non solo viene utilizzato come strumento di ricognizione ma risulta ulteriormente in grado di scaricare altri tools di hacking piuttosto popolari come Nmap, FreeRDP, NCAT e NPing.

Come se non bastasse, l’attaccante tenta anche di installare una backdoor sul computer della vittima riuscendo, nei casi di successo, a prenderne il controllo completo.

L’attacco viene poi portato avanti tramite dei playloads aggiuntivi, con l’obiettivo finale di ottenere dati sulle carte di credito appartenenti ai clienti delle strutture e probabilmente salvati all’interno della rete della compagnia vittima.

Non è solo la complessità strutturale a rendere questo attacco particolarmente interessante e difficile da estirpare, altri aspetti, come la velocità d’esecuzione e l’efficienza della metodologia tramite cui i dati vengono trafugati lo inseriscono a pieno titolo in un contesto di hacking di alto livello.

Degno di nota è anche il target verso cui tutto questo è pensato, ne sa qualcosa Kaspersky che nel novembre 2014 ha avuto a che fare con l’attività di un gruppo di hackers che rispondevano all’appellativo “Darkhotel” e il cui obiettivo era colpire reti internet di lussuosi hotel asiatici.

Stavolta però stiamo parlando di Carbanak, uno dei più temuti gruppi hacker al mondo; il fatto che un gruppo così famoso abbia scelto di cambiare rotta e iniziare ad operare in maniera così organizzata su questo settore è un chiaro indicatore di quanto sia redditizio, forse anche per la minore attenzione che viene dedicata al settore sicurezza cyber rispetto all’ambiente bancario. Che sia l’inizio di un trend?