g0008-carbanak - RunkIntel

# Carbanak > [!danger] Maior Roubo Bancário Cibernético da Historia (Até 2016) > **Carbanak** (também conhecido como Anunak) é o grupo de cibercrime responsavel pelo **maior roubo bancário cibernético documentado até então**: US$ 1 bilhão roubado de mais de **100 bancos em 40 países** entre 2013 e 2018. O Brasil figura na lista de vitimas. Em março de 2018, o mastermind do grupo foi preso na Espanha. Embora o grupo original estejá inativo, o malware Carbanak e suas técnicas foram herdados pelos grupos [[g0046-fin7|FIN7]] e [[g0080-cobalt-group|Cobalt Group]], que continuam ativos. ## Visão Geral **Carbanak** (Anunak) é um grupo de cibercrime financeiro que operou de **2013 a 2018**, responsavel por uma campanha sistematica de comprometimento de bancos globais usando um malware proprietario de mesmo nome. O grupo foi descoberto pela Kaspersky Lab em 2015 durante investigação de um banco ucraniano. **Visão geral:** - Origem: desconhecida (indícios apontam para Russia/Ucrânia, sem atribuição estatal) - Ativo: **2013-2018** - grupo original considerado desmantelado após prisão do lider em 2018 - Motivação: **financeiro** - roubo direto de bancos via ATM jáckpotting e transferências SWIFT - Escala: **US$ 1 bilhão** de mais de 100 bancos em 40 países - **Brasil incluso** como vitima confirmada - Legado: malware Carbanak continuado por [[g0046-fin7|FIN7]] e Cobalt Group - Mastermind preso: **março de 2018** na Espanha via Interpol/Europol **Modus operandi único:** o grupo passou semanas ou meses dentro de cada banco estudando os processos internos - **gravando telas de operadores bancários, aprendendo o software específico de cada instituição** - antes de executar o roubo de forma que parecesse operação legítima dos próprios funcionarios. ## Campanhas Documentadas ### Carbanak Global Bank Heist - 2013 a 2018 A campanha principal e única documentada do grupo. Comprometimento sistematico de bancos em múltiplos países via spearphishing contra funcionarios, instalação do backdoor Carbanak, reconhecimento prolongado (meses), e então execução do roubo por um dos tres métodos disponiveis: **Método 1 - ATM Jackpotting:** programação dos caixas eletronicos para dispensar dinheiro em horarios específicos, enquanto cúmplices locais coletavam o dinheiro. **Método 2 - Manipulação de Saldo:** inflação artificial de saldos de contas e transferência da diferença para contas mula. **Método 3 - Transferências SWIFT:** transações SWIFT fraudulentas de alta velocidade para contas em países com menos controle. **Brasil:** presença confirmada na lista de vitimas, embora valor específico não sejá público. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[g0008-carbanak\|Carbanak]] | Backdoor financeiro | Acesso remoto completo + captura de tela + keylogging + reconhecimento bancario | | [[mimikatz\|Mimikatz]] | Credential Dumping | Extração de credenciais para movimentação lateral entre sistemas bancarios | | [[psexec\|PsExec]] | Lateral Movement | Execução remota em sistemas internos de processamento bancario | | [[s0108-netsh\|netsh]] | LOTL - Rede | Configuração de tuneis de rede e redirecionamento de portas para C2 | | Ammyy Admin | RMM legitimo | Ferramenta de suporte remoto usada para acesso encoberto | ## Attack Flow - Comprometimento Bancário Carbanak ```mermaid graph TB A["🎣 Spearphishing Bancário E-mail com Word/Excel T1566.001 - CVE exploit"] --> B["🐚 Backdoor Carbanak Instalado como serviço T1543.003 Windows Service"] B --> C["🎥 Reconhecimento Prolongado Gravação de tela de operadores Keylogging bancário semanas"] C --> D["🔑 Credenciais Privilegiadas Mimikatz / Hash dump T1078 Valid Accounts"] D --> E["💳 Acesso a Sistemas Core Contabilidade / ATM Controller Firewall bypass T1562.004"] E --> F["💰 Execução do Roubo ATM jáckpotting SWIFT fraud / Saldo inflado"] ``` ## Timeline do Grupo ```mermaid timeline title Carbanak - Linha do Tempo 2013 : Primeiras operações contra bancos russos : Malware Carbanak (Anunak) desenvolvido 2014 : Expansão para Europa Oriental : Estimativa de US$ 300M roubados 2015 : Kaspersky Lab descobre o grupo : Relatório publicado - mundo toma conhecimento 2016 : Pico de operações globais : 100+ bancos em 40 países atingidos 2017 : Pressão de law enforcement aumenta : Atividade começa a declinar 2018 : Mastermind preso na Espanha (Março) : Operação Interpol/Europol : Grupo considerado desmantelado 2019 : FIN7 e Cobalt Group herdam o malware : Código Carbanak reutilizado em novas campanhas ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mails spearphishing com documentos Word/Excel contra funcionarios bancarios | | Persistence | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Backdoor Carbanak instalado como serviço Windows para persistência | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais bancarias legítimas para persistência de longo prazo | | Defense Evasion | Masquerade Task or Service | [[t1036-004-masquerade-task-or-service\|T1036.004]] | Serviços renomeados para parecer processos legítimos do sistema | | Defense Evasion | Rundll32 | [[t1218-011-rundll32\|T1218.011]] | Execução de payloads via rundll32 para evasão de defesas | | Defense Evasion | Disable Firewall | [[t1562-004-disable-or-modify-system-firewall\|T1562.004]] | Desativação de firewall para facilitar comunicação C2 | | C2 | Bidirectional Commúnication | [[t1102-002-bidirectional-communication\|T1102.002]] | C2 via serviços web bidirecionais para comunicação encoberta | | Collection | Remote Access Tools | [[t1219-remote-access-tools\|T1219]] | Ammyy Admin para acesso encoberto a sistemas bancarios internos | ## Relevância para o Brasil e LATAM > [!warning] Legado Ativo - FIN7 e Cobalt Group Continuam as Operações > Embora o Carbanak original estejá inativo, o **código do malware Carbanak foi herdado** pelos grupos [[g0046-fin7|FIN7]] e Cobalt Group, que continuam ativos e utilizando TTPs derivadas. O Brasil foi vitima confirmada da campanha original, e o setor bancario brasileiro deve manter defesas alinhadas às lições aprendidas com o Carbanak. A sofisticação em ATM jáckpotting é de especial relevância dada a extensiva rede de caixas eletronicos do sistema bancario brasileiro. **Impacto documentado no Brasil:** - Brasil confirmado na lista de vitimas da campanha 2013-2018 - Valor exato não divulgado públicamente, mas perdas estimadas de US$ 1B+ incluem bancos da região LATAM - Técnicas de ATM jáckpotting documentadas contra bancos brasileiros em operações posteriores por grupos herdeiros **Relevância atual (via grupos herdeiros):** - [[g0046-fin7|FIN7]] herdou o código Carbanak e o usa em campanhas de hospitalidade e varejo - Cobalt Group (também conhecido como Cobalt Gang) continua ataques a processadores de pagamento com variantes Carbanak - **Qualquer banco brasileiro** com ATM conectados a rede interna e sistemas POS antigos deve rever controles de segurança **Recomendações para o setor bancario brasileiro:** - Implementar monitoramento de integridade em software de controladores de ATM - Auditar logs de operadores para detecção de gravação de tela (processo não autorizado fazendo screenshots) - Segmentar rede de ATMs do restante da rede corporativa - Treinar funcionarios sobre spearphishing bancario especializado ## Detecção **Assinaturas de comportamento (Carbanak original e variantes):** - Processo desconhecido com chamadas a API de captura de tela (`BitBlt`, `GetDC`) continuamente - Serviço Windows novo instalado com nome que imita serviços legítimos do sistema - Rundll32 executando DLLs de diretorios temporarios ou de usuario - Conexões HTTPS para IPs sem reputação de controladores financeiros - Ammyy Admin instalado em servidores de processamento bancario sem autorização ## Referências - [1](https://securelist.com/the-great-bank-robbery-the-carbanak-apt/68732/) Kaspersky Securelist - The Great Bank Robbery - Carbanak APT (2015) - [2](https://attack.mitre.org/groups/G0008) MITRE ATT&CK - Carbanak (G0008) - [3](https://www.europol.europa.eu/media-press/newsroom/news/mastermind-behind-eur-1-billion-cyber-bank-robbery-arrested-in-spain) Europol - Carbanak Mastermind Arrested in Spain (2018) - [4](https://www.fox-it.com/en/news/whitepapers/carbanak-group/) Fox-IT - Carbanak Group Analysis (2015) - [5](https://www.group-ib.com/resources/threat-research/carbanak/) Group-IB - Carbanak Financial APT (2016) **Atores relacionados:** [[g0046-fin7|FIN7]] · [[g0061-fin8|FIN8]] · [[g0037-fin6|FIN6]] **Campanhas:** [[carbanak-global-bank-heist-2013|Carbanak Global Bank Heist 2013-2018]] **Malware e ferramentas:** [[g0008-carbanak|Carbanak (malware)]] · [[mimikatz|Mimikatz]] · [[psexec|PsExec]] · [[s0108-netsh|netsh]] **TTPs principais:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1543-003-windows-service|T1543.003]] · [[t1078-valid-accounts|T1078]] · [[t1562-004-disable-or-modify-system-firewall|T1562.004]] **Setores alvejados:** [[financial|Financeiro]] · [[banking|Bancário]] · [[hospitality|Hospitalidade]] · [[retail|Varejo]]