Kaspersky Lab, spécialiste international de la cybersécurité, est l’une des entreprises qui a participé à la découverte du groupe Carbanak en 2015. Aujourd’hui, Tanguy de Coatpont, directeur général de Kaspersky Lab France, se réjouit du succès de l’enquête.

Tanguy de Coatpont précise : « La récente victoire contre le groupe cybercriminal Carbanak est une très bonne nouvelle pour l’ensemble de l’industrie et souligne l’importance des échanges d’informations entre pays dans la lutte contre le cybercrime.

Carbanak est une campagne de type APT (Advanced Persistent Threat) qui utilisent des outils d’attaque ciblée pour s’en prendre à des institutions financières partout dans le monde, afin de dérober de l’argent. Ce groupe a été découvert en 2015 par Kaspersky Lab, INTERPOL, Europol ainsi qu’un certain nombre d’autres autorités, à partir d’un incident remontant à 2013. À cette époque, le groupe utilisait plusieurs outils, dont un programme baptisé Carbanak. Après la publication du rapport de Kaspersky Lab en 2015, le groupe a adapté ses outils et commencé à utiliser le malware Cobalt-strike, y compris ses noms de serveurs et son infrastructure.

Le groupe utilise des techniques de social engineering, à l’image d’emails de phishing avec des pièces jointes malveillantes (par exemple des documents Word embarquant des exploits), pour cibler les employés des institutions qui l’intéressent. Une fois qu’une victime est infectée, les attaquants installent une backdoor qui leur permet d’espionner, de voler de données et de gérer à distance le système infecté, dans le but de trouver les systèmes de transactions financières.

Au moment de la découverte du groupe, les chercheurs de Kaspersky Lab estimaient que le groupe Carbanak avait volé jusqu’à 1 milliard de dollars. Depuis 2013, le groupe a attaqué plus de 100 banques, systèmes d’e-paiement et autres organisations financières, dans au moins 30 pays en Europe, Asie, Amérique du Nord et du Sud et d’autres régions, dérobant plusieurs milliards de dollars.

Les recherches fructueuses sur Carbanak ont permis à Kaspersky Lab, en 2016, de mettre au jour deux autres groupes agissant de façon très similaire à Carbanak – Metel et GCMAN. Ils attaquaient des organisations financières en utilisant des malwares spéciaux et personnalisés de type APT, notamment pour la reconnaissance, ainsi que des logiciels légitimes et des nouveaux procédés innovants pour récupérer de l’argent. D’autres acteurs ont également adopté des techniques, tactiques et procédures héritées de Carbanak, comme par exemple Lazarus et Silence.

Au regard de l’échelle internationale de l’activité de ces groupes, nous croyons qu’ils impliquent des douzaines de personnes. Des éléments découverts dans les fichiers malveillants et sur les ordinateurs des victimes suggèrent que les créateurs du malware Carbanak sont russophones. A noter cependant que, pour réaliser ses coups, le groupe a cherché des natifs dans chaque pays concerné. »