DEFINICIÓN DEL VIRUS

Tipo de virus: amenaza persistente avanzada (APT)

¿Qué es Carbanak?

Carbanak es el nombre que usamos para una campaña al estilo de APT contra (pero no limitada a) instituciones financieras. Decimos que es al estilo de APT, pero, en sentido estricto, el ataque no es avanzado. En sentido estricto, la característica principal que define a los atacantes es la persistencia.

Los atacantes se infiltran en la red de la víctima y buscan el sistema crítico que pueden utilizar para sacar dinero. Una vez robada una cantidad significativa de dinero (de 2,5 a 10 millones de dólares por entidad), abandonan a la víctima.

¿En qué se diferencia de cualquier otro ataque de APT?

La principal diferencia con otros ataques de APT es que los atacantes no consideran los datos como su principal objetivo, sino el dinero.

La banda criminal Carbanak responsable del ciberrobo utilizó técnicas extraídas del arsenal de ataques dirigidos. El complot marca el comienzo de una nueva etapa en la evolución de la actividad cibercriminal, en la que usuarios maliciosos roban dinero directamente de bancos y evitan atacar a los usuarios finales.

¿Kaspersky Lab detecta todas las variantes de este malware?

Sí, detectamos muestras de Carbanak como Backdoor.Win32.Carbanak y Backdoor.Win32.CarbanakCmd.

Todos los productos y soluciones empresariales de Kaspersky Lab detectan muestras de Carbanak conocidas. Para elevar el nivel de protección, se recomienda activar el módulo de defensa proactiva de Kaspersky incluido en cada solución y producto modernos.

También tenemos algunas recomendaciones generales:

  • No abras correos electrónicos sospechosos, especialmente si tienen un archivo adjunto
  • Actualiza tu software (en esta campaña no se utilizaron días cero)

Activa el análisis exhaustivo en tus paquetes de seguridad; de esta forma, es más probable que estas nuevas muestras se detecten y detengan desde el principio.

¿Cómo identificar la intrusión?

Hay información sobre los indicadores de compromiso incluida en nuestro informe de investigación técnica detallado.

Kaspersky Lab insta a todas las organizaciones financieras a analizar cuidadosamente sus redes para detectar la presencia de Carbanak y, si se detecta, que se informe de la intrusión a los cuerpos de seguridad.

Hasta ahora, hemos observado dos objetivos principales de los atacantes:

  • Recopilar inteligencia
  • Facilitar otros tipos de ataques

Hasta el momento, se han identificado víctimas de Regin en 14 países:

  • Argelia
  • Afganistán
  • Bélgica
  • Brasil
  • Fiyi
  • Alemania
  • Irán
  • La India
  • Indonesia
  • Kiribati
  • Malasia
  • Pakistán
  • Rusia
  • Siria

En total, contamos 27 víctimas diferentes, aunque cabe señalar que la definición de víctima aquí hace referencia a una entidad completa, incluida toda su red. El número de ordenadores de sobremesa individuales infectados con Regin es, por supuesto, muchísimo más alto.

¿Se trata de un ataque patrocinado por países?

Si tenemos en cuenta la complejidad y el coste del desarrollo de Regin, es probable que un país respalde esta operación.

¿Qué país está detrás de Regin?

La atribución sigue siendo un problema muy difícil cuando se trata de atacantes profesionales, como los que están detrás de Regin.

¿Hay indicadores de compromiso (IOC) para ayudar a las víctimas a identificar la intrusión?

Sí, se ha incluido información de los IOC en nuestro informe de investigación técnica detallado.

Utilizamos cookies para mejorar tu experiencia en nuestros sitios web. Al utilizar y seguir navegando por este sitio web, aceptas las cookies. Haz clic en "más información" para obtener información detallada sobre el uso de cookies en este sitio web

Aceptar y cerrar