Anunak (aka Carbanak) Update

Hun werkwijze omvat nog niet eerder geziene rechtstreekse aanvallen op Russische geldautomaten en centrale systemen van banken.

Anunak (aka Carbanak) Update

In samenwerking met Group-IB rapporteerde Fox-IT in december 2014 over Anunak, de ATP-achtige groep criminelen die banden heeft met de Carberp-groep van een paar jaar geleden. Hun werkwijze omvat nog niet eerder geziene rechtstreekse aanvallen op Russische geldautomaten en centrale systemen van banken. Daarnaast richten ze zich op POS-malware en vervalsing van creditkaarten in de rest van de wereld, voornamelijk in de Amerikaanse detailhandel.

Onlangs zijn er berichten verschenen over de criminele ‘Carbanak’ groep. Veel oplettende lezers vroegen ons naar de opvallende overeenkomsten tussen Anunak and Carbanak. Hoewel het Carbanak rapport nog niet is vrijgegeven, willen we voor alle duidelijkheid antwoord geven op de meest gestelde vragen over Anunak.
Ronald Prins, oprichter van Fox-IT en CTO, vertelt: “Ons InTELL team blijft doorlopend deze criminele activiteiten in de gaten houden. We hebben besloten helderheid te scheppen voor onze klanten en degenen die dit onderwerp volgen. Anunak op zich is al erg genoeg.”

Hieronder volgt een lijst van de meest gestelde vragen die we hebben ontvangen met betrekking tot Anunak/Carbanak:

V: Heeft Anunak banden met Carbanak?
A: Ja, Anunak is feitelijk de naam die de malware-auteur gaf aan de belangrijkste malware die gebruikt wordt bij deze aanvallen. In de AV-sector wordt deze malware Carbanak genoemd. Het is een combinatie van de woorden ‘Anunak’ en ‘Carberp’, aangezien Anunak malware ook code gebruikt uit Carberp.

V: Waarom geven de Carbanak berichten andere cijfers weer? Schade en verlies zijn in die berichten veel hoger.
A: In ons rapport hebben we enkel de directe verliezen vermeld die we op dat moment konden verifiëren bij banken in Rusland. Met creditcard-trackdata diefstallen en de verliespercentages die banken hanteren voor valse creditcards, zouden we de verliezen wel hoger kunnen schatten. Het blijven echter schattingen. Het eerder door ons gemelde verliescijfer was bovendien exclusief de verliezen door IP-diefstal en schade door downtime en cleanup. Deze laatste twee zijn nog moeilijker te schatten. Vandaar dat we in december hebben bericht met een voorzichtig verliescijfer. Bovendien schetsen de rapporten over Carbanak een ander beeld. Hierin werd gesproken over aanvallen op banken buiten Rusland – Europa, de VS en Japan worden specifiek genoemd – en dat komt niet overeen met ons onderzoek.

V: Wat is er met de Anunak groep gebeurd sinds jullie rapport van december?
A: Sinds begin december heeft de groep minder activiteiten ontwikkeld en is inmiddels misschien wel helemaal gestopt. De exacte reden daarvoor blijft onduidelijk, maar deze ontwikkeling was al een feit voordat het rapport van Group-IB en Fox-IT werd gepubliceerd. We hebben verschillende activiteiten gezien die wellicht gerelateerd kunnen zijn en die onderzoeken we.

V: Moet ik me ergens zorgen om maken?
A: Los van onze aanvankelijke waarschuwing dat de ontwikkelingen bij Anunak wijzen op een nieuwe stap in cybercriminaliteit, hebben we geen bewijs dat de groep momenteel erg actief is. Maar ze kunnen beginnen wanneer ze willen. Een andere optie is dat ze opnieuw zijn begonnen en dat we ronduit nog geen meldingen en bewijs van hun nieuwe activiteit hebben ontvangen,

V: Hoe zit het met de targets buiten Rusland, met name in Japan, de VS en Europa?
A: Zonder enig inzicht in het bewijs dat Kaspersky heeft verkregen, kunnen we enkel ons standpunt herhalen dat Anunak het alleen op banken in Rusland heeft gemunt. We hebben geen concrete meldingen van getroffen banken buiten Rusland die direct naar deze criminele groep wijzen. De aanvallen buiten Rusland waren gerelateerd aan aanvallen in de detailhandel, met als doel creditcardgegevens te verkrijgen om valse creditcards te maken.

Neem voor meer informatie contact op met Eward Driehuis of Joost Bijl, per e-mail via fox@fox-it.com, tel: +31 (0)15 284 79 99.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft