Kaspersky Lab, INTERPOL, Europol và một số cơ quan hành pháp đã tìm ra nhóm Carbanak vào năm 2015. Vào cuối tháng 3/2018, kẻ cầm đầu nhóm này đã bị bắt giữ tại Alicante, Tây Ban Nha.
Carbanak là tên của nhóm hacker chuyên sử dụng công cụ tấn công có chủ đích nhắm vào các tổ chức tài chính trên toàn thế giới với mục đích chính là đánh cắp tiền.
Vào thời điểm bị phát hiện năm 2015, nhóm này đang sử dụng một loạt các công cụ, trong đó có một chương trình tên Carbanak. Sau khi Kaspersky Lab công bố thông tin vào năm 2015, nhóm này đã biến đổi công cụ và bắt đầu sử dụng phần mềm độc hại trên nền tảng Cobalt-strike, cũng như tên gọi và cấu trúc máy chủ.
Nhóm này sử dụng phương pháp tấn công phi kỹ thuật như email phising với các tập tin độc hại (chẳng hạn như tập tin Word có nhúng phần mềm khai thác lỗ hổng), nhắm vào nhân viên các tổ chức tài chính. Một khi nạn nhân bị lây nhiễm, kẻ tấn công sẽ cài một backdoor thực hiện công tác gián điệp, đánh cắp và quản lý dữ liệu các máy chủ bị lây nhiễm từ xa và chỉ việc chờ đợi các giao dịch tài chính diễn ra.
Vào thời điểm đó, các nhà nghiên cứu tại Kaspersky Lab ước tính nhóm này đã đánh cắp gần 1 tỷ đô la Mỹ. Từ năm 2013, Carbanak đã tấn công hơn 100 ngân hàng, hệ thống thanh toán điện tử và nhiều tổ chức tài chính khác tại ít nhất 30 quốc gia châu Âu, châu Á, Bắc và Nam Mỹ cùng những vùng lãnh thổ khác, đánh cắp hơn một tỷ USD từ các nạn nhân.
Nhà nghiên cứu bảo mật Sergey Golovanov, nhóm Phân tích và Nghiên cứu Toàn cầu thuộc Kaspersky Lab chia sẻ: “Thành công trong cuộc chiến chống lại nhóm tội phạm mạng Carbanak là tin tốt cho toàn ngành, qua đó có thể thấy việc trao đổi thông tin giữa các quốc gia trong bối cảnh tội phạm mạng ngày một gia tăng là cực kì quan trọng.
Bằng cách khoanh vùng hoạt động của các nhóm tội phạm mạng này, chúng tôi tin rằng còn rất nhiều cá nhân có liên quan. Chứng cứ được tìm thấy trên các tập tin và máy tính của nạn nhân cho thấy những kẻ tạo ra Carbanak nói tiếng Nga. Để tiến hành các hoạt động tại mỗi quốc gia, nhóm này đã tìm đến sự trợ giúp của người bản địa”.
Nhờ nghiên cứu thành công về nhóm Carbanak, năm 2016, Kaspersky Lab cũng đã phát hiện 2 nhóm khác có cách hoạt động tương tự như Carbanak: Metal và GCMAN. Chúng tấn công các tổ chức tài chính bằng phần mềm độc hại tùy biến để do thám kết hợp với các phần mềm hợp pháp để đánh cắp tiền. Ngoài ra, Lazarus và Silence là hai nhóm cũng sử dụng thủ pháp và quy trình tương tự Carbanak.