carbanak-global-bank-heist-2013

# Carbanak - Assalto Global a Bancos 2013 > [!info] Visão Geral > **Carbanak** (também conhecida como Anunak) foi a maior campanha de crime financeiro cibernetico da historia, operada pelo grupo [[g0046-fin7]] (Carbon Spider) entre 2013 e 2015. O grupo comprometeu mais de **100 bancos e instituicoes financeiras em 30 paises**, roubando entre **USD 500 milhões e USD 1 bilhao** via manipulação direta de sistemas bancarios internos - sem explorar vulnerabilidades dos clientes finais. A técnica era revolucionaria: os atacantes se infiltravam nas redes corporativas dos bancos, aprendiam os processos internos monitorando funcionarios por meses, e então manipulavam sistemas de transferencia SWIFT, caixas eletronicos e contas bancarias diretamente. O malware [[g0008-carbanak]] foi o implante principal, derivado do backdoor Carberp. A campanha foi descoberta e divulgada pela Kaspersky em fevereiro de 2015. ## Visão Geral O Carbanak reescreveu o manual do cibercrime financeiro. Enquanto outros grupos roubavam credenciais de clientes individuais ou exploravam terminais de pagamento, o [[g0046-fin7]] foi diretamente às entranhas dos bancos — comprometendo as redes corporativas das próprias instituições financeiras e aprendendo seus processos internos por meses antes de agir. Entre 2013 e 2015, o grupo saqueou mais de 100 bancos em 30 países, acumulando entre USD 500 milhões e USD 1 bilhão em perdas financeiras diretas. Quando a Kaspersky e a Interpol divulgaram o caso em fevereiro de 2015, a indústria de segurança ficou em choque com a paciência cirúrgica e a ambição do ataque. A cadeia de comprometimento do Carbanak era elegante em sua lógica: spear-phishing direcionado a funcionários bancários comuns entregava o malware [[g0008-carbanak]] (derivado do backdoor Carberp), que então ativava um sistema de vigilância interno. Por 2 a 4 meses, os atacantes monitoravam funcionários via keylogging, capturas de tela e gravação de vídeo, aprendendo o fluxo exato dos processos de cada banco — como as transferências SWIFT eram autorizadas, como os caixas eletrônicos eram programados, como os saldos eram registrados. Só então agiam, com conhecimento preciso do sistema de cada vítima. O grupo não precisava explorar vulnerabilidades técnicas sofisticadas pós-acesso: bastava replicar ações que funcionários legítimos já realizavam rotineiramente. Os métodos de monetização eram múltiplos e adaptados a cada banco: ATM jackpotting (programar caixas para dispensar dinheiro em horários específicos para mulas), manipulação de SWIFT para transferências fraudulentas para contas no exterior, inflação de saldos de contas de cúmplices para saque da diferença, e alteração direta de registros em bancos de dados Oracle/SQL. A média de roubo por banco era entre USD 2,5 e 10 milhões — dinheiro suficiente para que muitas instituições preferissem absorver a perda silenciosamente a admitir o comprometimento públicamente. Para o Brasil, o Carbanak teve impacto direto e indireto: bancos brasileiros de médio porte foram comprometidos na fase de expansão global de 2014-2015, e o modelo operacional do grupo influenciou o desenvolvimento de grupos criminosos locais especializados em ATM jackpotting — incluindo o grupo [[prilex]], que adaptou técnicas similares ao contexto brasileiro. O Banco Central emitiu circulares específicas sobre integridade de sistemas SWIFT e monitoramento de transações após o relatório Kaspersky. > [!latam] Impacto no Brasil e América Latina > O Brasil foi alvo direto do Carbanak na expansão global de 2014-2015, com bancos brasileiros de médio porte comprometidos. O modelo operacional influenciou grupos criminosos brasileiros especializados em **ATM jackpotting** e fraude SWIFT. O **Banco Central do Brasil** respondeu com circulares sobre integridade de sistemas SWIFT e o setor financeiro acelerou investimentos em monitoramento comportamental de redes internas. O grupo **Prilex** e outros atores de ameaça brasileiros adotaram variantes das técnicas do Carbanak adaptadas ao contexto local. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Spear-phishing a funcionarios bancarios"] --> B["Implante Carbanak RAT via Word/PDF malicioso"] B --> C["Reconhecimento Keylogging e Screen Capture de funcionarios bancarios"] C --> D["Aprendizado Monitoramento de processos internos por 2-4 meses"] D --> E["Manipulação Inflar saldos de contas Controlar ATMs remotamente"] E --> F["Exfiltração SWIFT fraudulento Mulas de dinheiro coletam"] F --> G["Ocultacao Reversao de registros Logs apagados"] ``` > **Atores:** [[g0046-fin7]], [[g0046-fin7]] | **Malware:** [[g0008-carbanak]] | **Setor:** [[financial|financeiro]] ## Cronologia ```mermaid timeline title Carbanak - Linha do Tempo 2013-01 : Primeiras intrusoes em bancos russos e ucranianos 2013-06 : Carbanak RAT identificado internamente como Anunak 2014-01 : Expansao para bancos europeus e americanos 2014-06 : Primeiro saque via ATM Jackpotting em banco russo 2015-02 : Kaspersky e Interpol publicam relatorio completo 2015-03 : Bancos afetados em 30 paises - USD 1B roubado 2018-03 : Lider do grupo FIN7 Carbanak preso na Espanha 2019 : Condenacoes nos EUA de membros do FIN7 ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com documento Word/PDF infectado com Carbanak | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de scripts PS para post-exploitation | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para controle de sistemas de funcionarios bancarios | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de credenciais e senhas bancarias internas | | Screen Capture | [[t1113-screen-capture\|T1113]] | Monitoramento de processos bancarios internos | | Financial Theft | [[t1657-financial-theft\|T1657]] | Manipulação de ATMs, SWIFT e saldos bancarios | | Video Capture | [[t1125-video-capture\|T1125]] | Gravacao de video da tela de funcionarios | ## Vitimas e Impacto O Carbanak foi o primeiro grupo criminal a comprometer a infraestrutura interna dos proprios bancos: **Técnicas de roubo utilizadas:** - **ATM Jackpotting**: Programar caixas eletronicos para dispensar dinheiro em horarios específicos para mulas - **SWIFT Fraudulento**: Transferencias bancarias falsas via sistema SWIFT para contas no exterior - **Manipulação de Saldos**: Inflar saldo de contas de complices de USD 1.000 para USD 10.000 e sacar a diferenca - **Oracle/SQL Manipulation**: Alterar registros diretamente no banco de dados do banco **Escala:** - Mais de 100 bancos comprometidos em 30 paises - USD 500 milhões a USD 1 bilhao roubados total - Media de USD 2,5 a 10 milhões por banco alvo - Cada intrusão levava de 2 a 4 meses de reconhecimento antes do roubo **Regioes afetadas:** - Russia e Ucrania (alvos iniciais - 2013) - Europa (2014: Alemanha, Reino Unido, Franca, Polonica) - EUA, Canada, China, Brasil ## Relevância LATAM e Brasil O Brasil foi um dos alvos identificados na expansao global do Carbanak: - Bancos brasileiros de medio porte foram comprometidos na fase de expansao 2014-2015 - O modelo operacional do Carbanak influenciou grupos criminosos brasileiros locais - técnicas de ATM jáckpotting foram adaptadas por grupos como [[prilex]] e criminosos da fraude bancaria nacional - O [[financial|setor financeiro brasileiro]] acelerou investimentos em monitoramento comportamental de redes internas e segmentacao de sistemas SWIFT após o relatorio Kaspersky - O [[bacen|Banco Central do Brasil]] emitiu circulares sobre integridade de sistemas SWIFT e monitoramento de transações suspeitas em resposta direta a campanha ## Mitigação **Controles específicos para o setor financeiro:** - Monitorar comportamento anormal de funcionarios em sistemas de transferencia bancaria - Segmentar sistemas SWIFT e redes de ATM do restante da rede corporativa - Implementar controles de integridade em sistemas de registro de saldos **Controles gerais:** - Aplicar [[m1049-antivirus-antimalware|M1049]] - detecção de Carbanak RAT e variantes - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA para sistemas bancarios criticos - Usar [[m1031-network-intrusion-prevention|M1031]] - detecção de trafego C2 do Carbanak - Monitorar via [[ds-0028-logon-session|DS-0028]] - sessoes RDP anomalas em sistemas bancarios internos ## Referências - [1](https://securelist.com/the-great-bank-robbery-the-carbanak-apt/68732/) Kaspersky Securelist - The Great Bank Robbery: Carbanak APT (2015) - [2](https://www.interpol.int/News-and-Events/News/2015/INTERPOL-and-Kaspersky-Lab-join-forces-to-unravel-the-Carbanak-cybercriminal-scheme) Interpol - Carbanak Cybercriminal Scheme (2015) - [3](https://www.justice.gov/opa/pr/transnational-cybercrime-organization-fin7-sentenced-us) DOJ EUA - FIN7 Sentencing (2023) - [4](https://www.group-ib.com/blog/anunak/) Group-IB - Anunak Carbanak APT Report (2014) - [5](https://www.trendmicro.com/en_us/research/15/b/carbanak-apt-the-great-bank-robbery.html) Trend Micro - Carbanak APT The Great Bank Robbery (2015) - [6](https://unit42.paloaltonetworks.com/carbanak-threat-actor-resurfaces-with-google-malvertising-campaign/) Unit 42 - Carbanak Threat Actor Resurfaces (2018) - [7](https://www.europol.europa.eu/media-press/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain) Europol - Carbanak Mastermind Arrested in Spain (2018)