En los ejemplos observados hasta la fecha, el grupo cibercriminal roba dinero por la noche en ciudades alrededor de Rusia y vacía cajeros automáticos de determinados bancos utilizando las mismas tarjetas emitidas por el banco comprometido serie de bancos, muchas veces con las mismas tarjetas de débito emitidas por el banco comprometido. En sólo una noche retiran todo el dinero.
Durante la investigación forense, los expertos de Kaspersky Lab descubrieron que Metel consiguió la infección inicial a través de correos electrónicos phishing con adjuntos malicioso y a través del paquete exploit Niteris, que aprovecha las vulnerabilidades en el navegador de la víctima. Una vez dentro la red, utilizan herramientas legítimas y Pentesting (test de penetración) para moverse lateralmente, secuestrando el controlador de dominio local y, finalmente, localizando y obteniendo el control de los ordenadores utilizados por los trabajadores del banco encargados de las tarjetas de pago.
En cuanto a GCMAN Kaspersky afirma que es todavía más sigiloso y va un paso más allá: en ocasiones pueden atacar con éxito una organización sin utilizar ningún tipo de malware y corriendo únicamente herramientas legítimas y pentesting. En los casos investigados por los expertos de Kaspersky Lab, se detectó que los cibercriminales emplearon las utilidades Meterpreter, Putty, VNC para moverse de forma por la red hasta encontrar una máquina que pudieran utilizar para transferir dinero sin alertar a los sistemas bancarios.
En uno de los ataques observados por Kaspersky Lab, los cibercriminales permanecieron en la red un año y medio antes de activar el robo. El dinero se transfería en cantidades de alrededor de 200 dólares, el límite máximo para pagos anónimos en este país. Cada minuto, el planificador CRON disparaba un script malicioso, y otra suma se transfería a una cuenta perteneciente a una cibermula. Las órdenes de transacción se enviaban directamente a la pasarela de pago, sin que quedara constancia en los sistemas internos del banco.
Y, por último, Carbanak 2.0 marca el resurgimiento de la APT Carbanak, con las mismas herramientas y técnicas, pero con un perfil de víctima diferente y formas innovadoras de retirar el dinero. En 2015, los objetivos de Carbanak 2.0 no sólo eran los bancos, también los departamentos financieros y de contabilidad de cualquier organización. Kaspersky Lab descubrió cómo Carbanak 2.0 accedía a una institución financiera y modificaba las credenciales de la propiedad de una gran empresa. La información fue modificada para nombrar una cibermula como accionista de la empresa.
