Este grupo é conhecido por ciber-ataques bastante sofisticados que almejavam vários setores como entretenimento, serviços financeiros, tecnologia, a indústria das moedas virtuais, entre muitos outros.

Qual a ferramenta do grupo?

Investigadores da Symantec descobriram uma ferramenta bastante importante no trabalho deste grupo que lhe permitia roubar dinheiro das ATM's. De forma a fazer estes levantamentos fraudulentos, o grupo primeira entrava nas redes dos bancos e comprometia os servidores responsáveis pelo processamento das transações, pois os mesmos corriam em swift. Assim que o servidor era comprometido, o grupo lançava um malware que na altura era desconhecido (Trojan.Fastcash), o qual ia intercetar os pedidos fraudulentos e enviar respostas falsas para conseguir o dinheiro das máquinas.

Tipo de mensagens nas transações das ATM's

O ISO 8583 é um formato de mensagem padrão que detalha a troca entre os pedidos dos cartões e os dispositivos. Os atacantes injetavam o código malicioso num processo legítimo das aplicações, que corriam no sistema operativo AIX (Advanced Interactive Executive). Este código conseguia construir as mensagens nesse tal formato ISO. O malware depois de intercetar os pedidos maliciosos, depois de prevenir que os mesmos chegassem à aplicação swift, transmitiam uma resposta falsa que aprovava as transações ou pedidos e, dessa forma, conseguia apanhar o dinheiro das ATM's.

Relatório da equipa da Symantec quanto a esta situação: https://www.symantec.com/blogs/threat-intelligence/fastcash-lazarus-atm-malware