Kaspersky heeft een giga-bankroof ontdekt, zo meldt het Russische bedrijf zondag in een persbericht. Daarbij is bij meer dan 100 financiële instellingen naar schatting tot wel 1 miljard dollar weggesluisd door hackers.

Spear phishing

Kaspersky ontdekte de roof bij onderzoek naar een bank in Kiev, waar malware op de systemen werd ontdekt. De cyberbende 'Carbanak' zou al bijna 2 jaar actief zijn. Elke bankroof nam volgens Kaspersky gemiddeld 2 tot 4 maanden in beslag: van het infecteren van de eerste computer in het bedrijfsnetwerk van de bank tot het wegsluizen van het geld.

De hackers besmetten eerst medewerkers van banken en andere financiële instellingen met malware door te doen alsof ze collega's waren, het zogeheten 'spear phishing'. De hackers deden vervolgens veel moeite om het hele interne netwerk en de werkprocessen van de bank te leren kennen, tot aan het meekijken via bewakingscamera's bij de overdracht van kasgeld aan toe. "De cybercriminelen waren daarmee in staat om alle werkpatronen van de bankmedewerkers tot in detail vast te leggen en deze na te bootsen om geld en kasgeld naar buiten te sluizen."

Geld overmaken

Doordat ze toegang hadden tot interne systemen konden de criminelen ook saldi van rekeningen aanpassen of neprekeningen opzetten. Meestal sluisden ze kleine bedragen weg, om niet op te vallen. Maar het grootste bedrag was 10 miljoen euro. Kaspersky: "Als een rekening bijvoorbeeld een saldo van 1.000 dollars had, wijzigden de criminelen dit bedrag in 10.000 en maakten ze vervolgens 9.000 dollar naar zichzelf over. De rekeninghouders zagen hier geen kwaad in, omdat de oorspronkelijke 1.000 dollar nog altijd aanwezig was."

De cybercriminelen namen ook de controle van pinautomaten van banken over en gaven ze opdracht om op een bepaald tijdstip geld uit te spuwen. Op dat moment kwam er een bendelid opdagen om het geld te stelen. Bij een onderzoek naar zo'n verdachte pinautomaat kwam Kaspersky de hack op de het spoor.

Toch geen Nederlandse banken

Het meeste geld werd gestolen van Russische banken. Eerst werd gesteld dat ook Nederlandse banken slachtoffer waren geworden, maar Kaspersky ontkent dit tegenover Webwereld. "Er zijn geen financiële instellingen het slachtoffer in de Benelux", aldus Jornt van der Wiel van Kaspersky.

De bende opereert volgens Kaspersky vanuit Rusland, de Oekraïne, verschillende andere Europese landen en China. "Deze actie luidt het begin in van een nieuw stadium in de ontwikkeling van cybercriminaliteit, waarbij hackers rechtstreeks geld van banken stelen in plaats van hun 'pijlen' op eindgebruikers te richten", aldus Kaspersky. Het bedrijf stelt dat het geen enkel verschil uitmaakte welke software de banken gebruikten.

Update: Kaspersky ontkent dat er Nederlandse banken slachtoffer zijn geworden.

Update 2: Fox-IT uit Delft meldt dat het al eerder de bende en de malware op het spoor was. Carbanak is dan ook hetzelfde als Anunak. Het securitybedrijf heeft geen enkele aanwijzing dat er banken buiten Rusland zouden zijn getroffen en ze schatten zelf de buit/schade ook veel lager in.