Onderzoeksrapport Bitdefender toont anatomie van cyberaanval op Europese financiële instelling

Onderzoekers van Bitdefender hebben een gerichte aanval op een Europese financiële instelling volledig uitgeplozen. Hierbij zijn diverse nieuwe inzichten verkregen en is een volledige tijdlijn van de aanval gecreëerd - vanaf het moment dat de ‘spearphising’ e-mail de inbox van het slachtoffer bereikte tot het moment dat het lek werd ontdekt. Het onderzoek laat zien hoe de beruchte Carbanak-groep infiltreert in organisaties en zich zijdelings door de infrastructuur (en organisatie) beweegt.

De forensische analyse van Bitdefender onthult een aantal belangrijke aanvalstactieken die licht werpen op de modus operandi van de groep, zoals bijvoorbeeld hoe ze verkenningen uitvoerden en de laatste fase van de aanval planden. Binnen enkele uren na infiltratie identificeerde de cyber-criminele groep documenten met gevoelige informatie en begon deze voor te bereiden voor exfiltratie, en trachtte de groep toegang te krijgen tot de geld- en bankapplicaties van de organisatie.

Wat heeft het onderzoek van Bitdefender aan het licht gebracht?

• Een volledige tijdlijn van de gebeurtenissen: vanaf het initiële lek tot het moment van de grootschalige overval.
• Financiële instellingen in Oost-Europa blijven het voornaamste doelwit van de criminele groep.
• Er zaten slechts enkele uren tussen het initiële lek en het veroveren van vaste voet binnen de organisatie inclusief de mogelijkheid ook andere systemen in de organisatie te infiltreren.
• In de verkenningsfase werden gegevens met betrekking tot bankapplicaties en interne procedures verzameld en voorbereid voor exfiltratie, om te worden gebruikt in de laatste fase van de aanval.
• Verkenning van de infrastructuur vond voornamelijk plaats na sluitingstijd of in het weekend.
• Het uiteindelijke doel was infiltratie van de pinautomaten-netwerken, mogelijk om de geldautomaten uit te laten betalen in een gecoördineerde fysieke en digitale criminele operatie.