Em um relatório publicado na quinta-feira, pesquisadores de segurança da Rússia divulgaram informações sobre uma série de ataques de um grupo cibercriminosos chamado Buhtrap, que roubou instituições bancárias nesse país. O Grupo-IB observou, “de agosto de 2015 a fevereiro de 2016, o Buhtrap conseguiu realizar 13 ataques bem-sucedidos contra bancos russos, roubando a quantia total de 1,8 bilhões de rublos ($25,7 milhões de dólares)“.
As atividades da gangue em questão foram vistas primeiro em 2014, quando começou a visar os clientes do banco russo até agosto de 2015. Durante esse período, observou-se que começaram visando instituições financeiras. Os agressores usaram email spear-phishing com documentos Word anexados que continham malware e cujo download ativava um backdoor que permitia registrar as teclas digitadas, espionar a tela da vítima, roubar dados e baixar outro malware.
O relatório ainda diz, “Buhtrap é o primeiro grupo de hackers a usar um worm de rede para infectar a infraestrutura geral do banco, aumentando muito a dificuldade de remoção das funções maliciosas da rede“. Os bancos afetados interromperam seus sistemas, causando uma demora considerável de serviços e outras perdas. Chamado pelos pesquisadores de BuhtrapWorm, o worm tem a capacidade de abrigar-se na rede alvo, desde que pelo menos um sistema tenha sido afetado.
Assim o grupo explorou vários métodos para propagar malware, o que permitiu que penetrassem nos sistemas de clientes do banco e redes corporativas. Os emails de phishing foram considerados um estratagema eficaz, passando-se por mensagens do Banco Central ou como um ardil específico que enganou especialistas em segurança que são membro do clube “Anti-drop”.
Entre maio e agosto de 2015, sites comprometidos de portais de contabilidade, entidades legais e até sites de construção foram usados para levar oficiais e pessoal de bancos a um servidor malicioso que hospedava um exploit kit que instala o malware.
Além disso, versões modificadas de software legítimos também foram usadas para infectar sistemas. O site Ammyy, criado por desenvolvedores do software administrador remoto legítimo Ammyy Admin também tinha uma versão maliciosa cravada de malware Buhtrap.
O relatório também observou como o Buhtrap conseguia visar estações de trabalho executando o Automated Working Station of the Central Bank Client (AWS CBC) – software grátis que envia documentos de pagamento em nome do Banco Central. Os agressores usaram uma brecha que permitia que eles substituíssem transações de ordem de pagamento oficiais no AWS CBC que redirecionava para contas sob seu controle.
Com esses métodos o Buhtrap conseguiu acumular 1,8 bilhões de rublos (US$25 milhões) em um período de seis meses – a maior quantia relatada roubada de um banco russo foi de quase 600 milhões de rublos ($9 milhões de dólares) e a menor foi de 25 milhões de rublos ($370.000 dólares).
O relatório destaca que as táticas empregadas pela gangue não eram sofisticadas. Dada à rigorosa conformidade com medidas de segurança e programas de educação reforçado para os funcionários sobre cibersegurança, ataques como esse poderiam muito bem ser reduzidos.
O relatório finaliza, “O mais importante: se você detectou pistas de um ataque direcionado em qualquer etapa, você precisa envolver empresas especializadas para sua análise. Respostas incorretas resultam em uma atividade do agressor parcialmente indetectada, permitindo que os criminosos atinjam seus objetivos – roubar o dinheiro.”