O líder do grupo criminoso responsável pelos ataques de malware Carbanak e Cobalt, que afetaram mais de 100 instituições financeiras em todo o mundo, foi preso em Alicante, Espanha, depois de uma complexa investigação conduzida pela Polícia Nacional Espanhola, com o apoio da Europol, do FBI dos EUA, autoridades romenas, bielorrussas e taiwanesas e empresas privadas de cibersegurança.
Em causa estavam cibercrimes que ascendiam já a mais de mil milhões de euros sacados.
Malware é a chave do cofre!
Desde 2013 que estes cibercriminosos tentaram atacar mais de 100 instituições bancárias, sistemas de pagamento e outras instituições financeiras. A operação criminosa atingiu bancos em mais de 40 países e resultou em perdas acumuladas de mais de mil milhões de euros no setor financeiro. A magnitude das perdas é significativa: o malware Cobalt permitiu que os criminosos roubassem até 10 milhões de euros por assalto.
Em média, cada roubo de um banco demorava entre dois e quatro meses, desde que era infetado o primeiro equipamento da rede do banco até ao desvio efetivo do dinheiro.
Os cibercriminosos começavam por aceder ao computador de um funcionário através de “spear phishing”, uma burla realizada por correio eletrónico cujo único propósito era obter acesso não autorizado a dados confidenciais, infetando a vítima com o malware Carbanak. Conseguiram violar a rede interna e localizar os computadores dos administradores para os vigiar através de vídeo. Isto permitiu-lhes ver e gravar tudo o que se passava nos ecrãs dos computadores do pessoal que lidava com os sistemas de transferência de dinheiro vivo.
Desta maneira, os cibercriminosos conseguiam conhecer até ao último detalhe o trabalho dos funcionários bancários e foram capazes de imitar a atividade do pessoal a fim de transferir dinheiro efetivo.
Modus operandi
Tudo começou em 2013 quando uma forte atividade criminosa utilizou alta tecnologia, lançando a campanha de malware Anunak que visava transferências financeiras e redes de caixas eletrónicas de instituições financeiras em todo o mundo. No ano seguinte, os mesmos programadores apuraram o malware Anunak para uma versão mais sofisticada, conhecida como Carbanak, que foi usada até 2016. Desde então, o grupo criminoso concentrou os seus esforços no desenvolvimento de uma onda ainda mais sofisticada de ataques usando malware feito sob medida baseado no software de teste de penetração Cobalt Strike.
Em todos esses ataques foi usado um modus operandi muito similar. Os criminosos enviariam aos funcionários do banco e-mails com spear phishing. Os anexos continham malware com aspeto de material de empresas legítimas. Uma vez descarregado, o software malicioso permitia que os criminosos controlassem remotamente as máquinas infetadas das vítimas, dando-lhes acesso à rede bancária interna e infetando os servidores que controlavam também as caixas eletrónicas. Isso proporcionou-lhes o conhecimento necessário para sacar o dinheiro.
Como sacaram o dinheiro?
O dinheiro foi então sacado por um dos seguintes meios:
- As caixas eletrónicas foram instruídas para fornecer o dinheiro num determinado momento. Com uma organização bem montada, os responsáveis dos grupos criminosos esperavam da parte de fora das máquinas visadas e de forma “normal” levantavam todo o dinheiro “cuspido” pela máquina ATM;
- A rede de pagamento eletrónico foi usada para transferir dinheiro para fora da instituição bancária e para contas de criminosos;
- As bases de dados com informações de contas foram modificados para que o saldo das contas bancárias fosse inflacionado, depois as “mulas de dinheiro” iam recolher o dinheiro disponível. Os lucros do crime também foram lavados através de moedas criptografadas, por meio de cartões pré-pagos ligados às carteiras de criptomoedas que eram usadas para comprar bens como carros de luxo e casas.
Cooperação policial internacional
A cooperação policial internacional coordenada pela Europol e pelo Grupo de Ação Conjunta de Ação Cibernética foi fundamental para levar os criminosos à justiça. Foram identificados os cabecilhas, programadores, a rede de mulas, lavadores de dinheiro e vítimas. Todos estes foram localizados em diferentes zonas geográficas ao redor do mundo.
O Centro Europeu de Cibercriminalidade (EC3) da Europol facilitou o intercâmbio de informações, organizou reuniões operacionais, prestou apoio à análise digital forense e de malware e destacou peritos no local em Espanha durante o dia da ação.
A estreita parceria público-privada com a European Banking Federation (EBF), o setor bancário como um todo e as empresas de segurança privada também foi fundamental para o sucesso dessa complexa investigação.
“Podes correr… mas não te podes esconder”
Wim Mijs, diretor-executivo da Federação Bancária Europeia, afirmou: “Esta é a primeira vez que o FFE coopera ativamente com a Europol numa investigação específica. Claramente vai além da sensibilização para a cibersegurança e demonstra o valor da nossa parceria com especialistas em cibercrime da Europol. A cooperação público-privada é essencial quando se trata de combater eficazmente os crimes digitais transfronteiriços, como o que estamos a ver aqui com o gangue Carbanak. ”
Steven Wilson, chefe do Centro Europeu de Cibercrime da Europol (EC3), disse: “Esta operação global foi um sucesso significativo para a cooperação policial internacional contra uma organização cibercriminosa de alto nível. A prisão da figura chave neste grupo criminal ilustra que os cibercriminosos não podem mais se esconder atrás do anonimato internacional. Este é outro exemplo em que a estreita cooperação entre as agências policiais à escala mundial e os parceiros confiáveis do setor privado está a ter um grande impacto sobre a cibercriminalidade de alto nível “.
É cada vez mais uma garantia que não existe o anonimato na Internet e os criminosos podem correr, mas não se podem esconder.
Veja a infografia total:
