Selon une enquête réalisée par Kaspersky, une centaine de banques aurait été victime d'un casse à distance réalisé par un groupe de pirates. Entre 300 millions et 1 milliard de dollars auraient été dérobés en utilisant un malware.

Ce lundi, la société de sécurité informatique Kaspersky doit dévoiler les détails d'un vol de grande ampleur qu'elle a mis à jour après avoir été appelée à l'aide fin 2013 par une banque en Ukraine, qui a découvert que l'un de ses distributeurs se mettait à délivrer des billets tout seul, à certains moments de la journée. Si l'opération rappelle le piratage des distributeurs par clé USB dévoilé à la même époque, il ne s'agissait que de la partie émergée de l'iceberg.

Selon le New York Times qui a pu avoir accès au rapport de Kaspersky, les enquêteurs de la firme russe ont découvert que le groupe de hackers qu'ils surnomment "Carbanak" a utilisé un malware extrêmement sophistiqué pour espionner les infrastructures et les employés d'une centaine de banques à travers 30 pays, et dérober au moins 300 millions de dollars. Et peut-être le triple, selon les estimations de Kaspersky.

Les hackers, dont les opérations seraient toujours en cours auprès de certains établissements, profitent des connaissances acquises sur les routines des banques et de leurs employés pour effectuer des ordres de virement vers des comptes créés également frauduleusement. Les sommes ont été dérobées principalement en Russie, mais des banques japonaises, américaines et européennes ont également été touchées.

ESPIONNÉS PENDANT DES MOIS

La tactique utilisée est classique, et débute par de l'ingénierie sociale. Les pirates commencent par envoyer des e-mails semblant provenir de collègues de bureau, qui incitent à ouvrir une pièce jointe infectée par le malware. Celui-ci permet alors d'avoir accès au réseau interne de la banque, et de découvrir qui a les autorisations nécessaires pour effectuer des transferts d'argent, ou pour administrer les distributeurs de billets. Ils installent également en toute discrétion un cheval de Troie (un RAT, outil d'administration à distance) qui leur donne accès aux captures d'écran des employés de banque, et probablement aux mots de passe saisis. 

Après des mois de prise d'informations qui leur permet de comprendre les procédures internes des banques, les hackers se font alors passer pour certains employés autorisés, et vident les comptes en prenant soin de cacher leurs traces. Ils commencent par ajouter virtuellement de l'argent sur un compte bancaire en modifiant le solde disponible, puis transfèrent toute la somme ajoutée vers le compte de destination, laissant le solde d'origine intact.

L'enquête est toujours en cours dans de multiples pays, coordonnée par Interpol à Singapour.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !