O estudo da Kaspersky já foi partilhado com autoridades como a Casa Branca ou o FBI, mas a empresa de segurança informática não poderá revelar os nomes dos bancos que foram vitimados por este esquema. A análise começou por uma caixa ATM em Kiev que dispensava grandes quantidades de dinheiro, de forma aleatória, sem que ninguém colocasse nenhum cartão ou carregasse em algum botão. A Kaspersky descobriu que esta era uma das consequências de um ataque informático aos sistemas do banco.
Os atacantes conseguiram aceder aos computadores dos funcionários do banco, analisaram os movimentos mais comuns e a contabilidade daquela instituição e captaram vídeos durante meses, gravando todas as interações e enviando-as para um grupo criminoso com origens russas, chinesas e europeias. Além de adulterar o funcionamento de várias máquinas ATM que dispensaram dinheiro aos transeuntes, os hackers transferiram milhões de dólares de bancos na Rússia, Japão, Suíça, EUA e Holanda para contas fictícias criadas noutros países.
Os roubos estavam limitados a 10 milhões por transferência e podem ter chegado aos 900 milhões de dólares, noticia o The New York Times.
Os bancos recusam publicitar se foram alvo deste ataque, mas o presidente dos EUA pretende fazer aprovar uma lei que obrigue as instituições financeiras a divulgarem o sucedido, no caso de serem atacadas por via informática. Uma das autoridades que alerta os bancos para ataques de malware anunciou que os membros estão ao corrente e que foi passada informação sobre como evitar estes ataques.
Os atacantes enviaram emails com links para download de software malicioso, os funcionários descarregaram e o código malicioso vasculhou a rede interna do banco à procura das máquinas que estivessem a controlar as ATM e a gerir as transferências de dinheiro. Depois, nessas máqunas foram colocadas RAT, de Remote Access Tool, que permitiram gravar vídeo e fazer capturas de ecrã durante um período de tempo prolongado, para poderem imitar depois essas rotinas, de forma a não levantar suspeitas. Os bancos têm mecanismos de controlo das contas bancárias, mas que só atuam num período de cerca de dez em dez horas, pelo que no meio torna-se fácil transferir o dinheiro, sem chamar a atenção.
O ataque é conhecido por Carbanak e aparentemente é fácil de conduzir. A banca mantém-se em silêncio sobre as vítimas e os montantes a que os atacantes tiveram acesso, aumentando a desconfiança sobre a possibilidade de ainda haver instituições que estejam a ser alvejadas desta forma.
Contactada pela Exame Informática, a Kaspersky esclareceu que não houve entidades portuguesas afetadas por este ataque.
