Fuite du code source du malware Carbanak : que va-t-il se passer ?

30 Avr 2019

Plusieurs médias ont récemment parlé de Carbanak. Les chercheurs en sécurité ont découvert que le code source du malware tristement célèbre était disponible sur le portail ouvert de VirusTotal. Carbanak est connu pour avoir été jusqu’à présent la pire menace informatique financière, puisque ce malware a engendré des pertes financières s’élevant à plus d’un milliard de dollars.

Histoire de Carbanak

Nos experts ont détecté et analysé Carbanak pour la première fois en 2014. Ils avaient fait des recherches sur plusieurs incidents d’argent volé aux distributeurs, mais s’étaient finalement rendu compte que tous ces cas étaient liés. Il s’agissait d’une immense campagne internationale qui cherchait à voler l’argent de plusieurs banques dans le monde entier. Au début, nos experts ne prenaient en compte que les incidents qui avaient lieu en Europe de l’Est, mais ils ont vite trouvé plus de victimes : États-Unis, Allemagne et Chine.

Comme bien d’autres attaques, cette campagne a d’abord utilisé l’harponnage (spear phishing). Dans ce cas, il s’agissait d’un e-mail ciblé et armé de pièces jointes malveillantes afin d’installer une porte dérobée qui reposait sur le malware Carberp. Cette porte dérobée offrait un accès à la totalité du réseau de l’entreprise prise pour cible (ici les réseaux des banques), et mettait en péril les ordinateurs à partir desquels les malfaiteurs pouvaient extraire de l’argent.

Les cybercriminels pouvaient accéder aux fonds de différentes façons. Ils donnaient parfois des instructions à distance aux distributeurs pour que les mules puissent récupérer l’argent. Ils pouvaient aussi utiliser le réseau SWIFT pour directement effectuer un transfert d’argent vers leurs comptes. Ces méthodes n’étaient pas courantes en 2014, et c’est pourquoi l’étendue et les technologies que Carbanak utilisaient n’ont touché que les secteurs bancaires et industriels.

Que nous réserve l’avenir ?

Nos experts ont constaté que plusieurs attaques avaient été commises depuis qu’ils avaient découvert Carbanak (Silence, par exemple). Ces méthodes adoptaient des tactiques similaires, et les spécialistes avaient suivi d’autres actes du même groupe criminel, qui est encore actif. Maintenant que le code source de Carbanak a été rendu public, ces incidents pourraient être beaucoup plus fréquents. N’importe quel malfaiteur n’ayant pas les connaissances suffisantes en codage pour créer ce genre de malware compliqué a désormais accès au code source. Sergey Golovanov, chercheur de Kaspersky Lab, a travaillé sur cette affaire dès le début et souhaiterait partager quelques informations :

« Le fait que le code source du malware tristement célèbre Carbanak soit disponible sur un site Internet open source est de mauvais augure. En effet, le malware Carbanak a initialement été créé à partir du code source du malware Carberp après qu’il ait été publié sur Internet. Nous avons toutes les raisons de croire que nous allons faire face à la même situation, et que de dangereuses modifications de Carbanak vont apparaître dans le futur. La bonne nouvelle est que depuis que Carberp a été divulgué, le secteur de la cybersécurité a considérablement évolué, et qu’il peut désormais reconnaître le code modifié. Nous conseillons vivement aux entreprises et aux individus de se protéger contre cette menace, et celles à venir, grâce à une solution de sécurité robuste. »

Comment se protéger

Nous vous conseillons de suivre ces quelques conseils pour vous protéger des menaces similaires à Carbanak :

  • Équipez vos SIEM et autres contrôles de sécurité des fonctions de Threat Intelligence pour avoir accès aux données actuelles les plus importantes sur les menaces, et vous préparer aux futures attaques. Vous devriez connaître ces menaces avancées, et savoir quoi chercher pour pouvoir vous protéger. Les fonctions Threat Intelligence apportent les informations dont vous avez besoin.
  • Choisissez des solutions EDR comme Kaspersky Endpoint Detection and Response pour que les incidents soient détectés, analysés et rapidement résolus au niveau du point de terminaison. Vous devez agir immédiatement si vous détectez une activité similaire à celle de Carbanak sur un point de terminaison, et les solutions EDR peuvent particulièrement être utiles dans ce cas.
  • Utilisez une solution de sécurité pour entreprise afin de détecter les menaces avancées sur le réseau à un stade précoce, comme Kaspersky Anti Targeted Attack Platform, et protégez correctement les points de terminaison.