DEFINICIÓN DEL VIRUS

Tipo de virus: amenaza persistente avanzada (APT)

¿Qué es Carbanak?

Carbanak es el nombre que utilizamos para referirnos a un tipo de campaña de APT dirigida a instituciones financieras (entre otras). Decimos que es de tipo APT; sin embargo, en términos estrictos, el ataque no es avanzado. Estrictamente hablando, la principal característica que define a los atacantes es la persistencia.

Los atacantes se infiltran en la red de la víctima buscando un sistema crítico que puedan aprovechar para extraer dinero. Después de robar una cantidad considerable (entre USD 2 500 000 y USD 10 000 000 por entidad), abandonan a la víctima.

¿Cómo se diferencia de otros tipos de ataques APT?

La diferencia principal respecto a otros ataques APT es que el objetivo principal de los atacantes no son los datos, sino el dinero.

Una banda criminal Carbanak responsable del ciberrobo utilizó técnicas extraídas del arsenal de ataques dirigidos. Esta treta marca el inicio de una nueva etapa en la evolución de la actividad cibercriminal, en la que los usuarios maliciosos roban dinero directamente de los bancos y evitan dirigir sus ataques a usuarios finales.

¿Detecta Kaspersky Lab todas las variantes de este malware?

Sí, detectamos las muestras de Carbanak como Backdoor.Win32.Carbanak y Backdoor.Win32.CarbanakCmd.

Todos las soluciones y los productos corporativos de Kaspersky Lab detectan muestras de Carbanak conocidas. Para incrementar el nivel de protección, te recomendamos activar el módulo de defensa proactiva de Kaspersky, que se incluye en todos los productos y las soluciones actuales.

Además, te ofrecemos algunas recomendaciones generales:

  • No abras correos electrónicos sospechosos, especialmente si vienen con un archivo adjunto;
  • Actualiza tu software (en esta campaña no se utilizaron vulnerabilidades de día cero)

Activa el análisis heurístico en tu conjunto de aplicaciones de seguridad; de esta manera, es más probable que el software de protección sea capaz de detectar y detener las nuevas muestras desde el comienzo.

¿Cómo puedo identificar la intrusión?

Incluimos información de indicadores de comprometimiento en nuestro informe técnico de investigación detallado.

Kaspersky Lab anima a todas las organizaciones financieras a analizar exhaustivamente sus redes para comprobar la presencia de Carbanak y, si lo detectan, a informar de la intrusión a las fuerzas de seguridad.

Hasta ahora, hemos observado dos objetivos principales de los atacantes:

  • Recopilación de inteligencia
  • Facilitación de otros tipos de ataques

Hasta ahora, se han identificado víctimas de Regin en 14 países:

  • Argelia
  • Afganistán
  • Bélgica
  • Brasil
  • Fiyi
  • Alemania
  • Irán
  • India
  • Indonesia
  • Kiribati
  • Malasia
  • Pakistán
  • Rusia
  • Siria

En total, contamos 27 víctimas diferentes, aunque cabe señalar que, en este documento, la definición de víctima se refiere a una entidad completa, incluida toda su red. No cabe duda de que la cantidad de PC individuales infectadas con Regin es muchísimo más alta.

¿Es este un ataque patrocinado por un país o estado?

Considerando la complejidad y el costo de desarrollo de Regin, es probable que se trate de una operación patrocinada por un país o estado.
¿Qué país se encuentra detrás de Regin?

Sigue siendo muy difícil atribuir los ataques de Regin especialmente si tenemos en cuenta que tras él hay atacantes profesionales.

¿Existen indicadores de comprometimiento (IOC) que ayuden a las víctimas a identificar la intrusión?

Sí, incluimos la información de IOC en nuestro informe técnico de investigación detallado.