Un grupo de hackers con nombre código Carbanak ha robado más de mil millones de dólares de 100 bancos en más de 30 regiones, según una investigación de Kaspersky Lab.

La firma de seguridad reveló la campaña en un informe. Carbanak ha estado activo desde finales de 2013 y está dirigido principalmente a los bancos en Rusia, Estados Unidos, Alemania, China y Ucrania. Kaspersky también tiene evidencia de que la operación se está expandiendo para atacar a instituciones europeas.

Carbanak tiene las características de una amenaza persistente avanzada (APT) y en un principio se dirige hacia sus víctimas con correos electrónicos enviando phishing diseñados para parecerse a las comunicaciones bancarias legítimas.

Los mensajes contienen archivos Microsoft Word y applets del panel de control maliciosos que explotan defectos en Microsoft Office 2003, 2007 y 2010 (CVE-2.012-0.158 y CVE-2.013-3.906) y Microsoft Word (CVE-2014-1761) para ejecutar la puerta trasera de Carbanak.

Los atacantes comienzan con una fase de reconocimiento dirigido a los empleados bancarios, en particular a los administradores de sistemas. La siguiente fase consiste en desviar los datos y grabar videos del personal para luego enviarlos a un servidor C2 propiedad del grupo.

Utilizando la inteligencia se movilizan a través de la red de la víctima para obtener acceso a una variedad de sistemas, incluyendo servicios de procesamiento de dinero, cajeros automáticos y las cuentas financieras.

Una vez dentro, los cibercriminales roban dinero en una gran variedad de formas, incluyendo la transferencia de las sumas de dinero a cuentas en los Estados Unidos y China por medio del servicio Swift.

También explotan las redes de cajeros automáticos en la cual los obligan a dispensar dinero en momentos específicos para después recogerlo.

Kaspersky informó que los piratas informáticos limitan cada transferencia a un máximo de 10 millones de dólares y han afectado a algunos bancos en más de una ocación.

El portal de noticias V3 contactó a varios bancos, entre ellos Barclays, RBS y JP Morgan, para saber si habían sido víctimas de Carbanak o si estaban tomando medidas para combatir la amenaza. JP Morgan se negó a hacer comentarios.

Un portavoz de RBS dijo a V3: "RBS no ha sido objetivo de este grupo de delincuencia o de alguna otra actividad maliciosa." 

La tasa de descubrimiento y el éxito de la campaña ha generado preocupación en la comunidad de seguridad. El director de Tecnología de Imperva, Amichai Shulman, dijo que la alta tasa de éxito demuestra que las tecnologías de defensa existentes en los bancos son inadecuadas.