Nuo 2013 m. kibernetinių nusikaltėlių grupė bandė atakuoti bankus, elektroninio mokėjimo sistemas ir finansų įstaigas, naudodamiesi pačių sukurtomis „Carbanak“ ir „Cobalt“ kenkėjiškomis programomis. Nuo šios nusikalstamos operacijos nukentėjo virš 40 pasaulio šalių, o finansų pramonei buvo padarytas daugiau nei 1 mlrd. eurų nuostolis. Nuostoliai milžiniški: vien „Cobalt“ kenkėjiška programa leido nusikaltėliams pavogti iki 10 mln. eurų per vieną apiplėšimą.
„Carbanak“ – panaši į kitas išplėstines nuolatines grėsmes (APT). Siekdama apvogti finansų įstaigas visame pasaulyje ji naudoja tikslines atakos priemones.
2015 m., remdamiesi 2013 m. incidentu, šią programą aptiko „Kaspersky Lab“ kartu su Interpolu, Europolu ir kitomis teisėsaugos institucijomis. Tuo metu grupuotė naudojo įvairias priemones taip pat ir „Carbanak“. Paskelbus „Kaspersky Lab“ atradimus, 2015 m. nusikalstama grupė patobulino savo serverius bei infrastruktūrą ir pradėjo naudoti kenkėjišką programinę įrangą „Cobalt“.
Grupė naudoja socialinės inžinerijos metodus, tokius kaip, apgaulingi el. laiškai su kenksmingais priedais (pvz., „Word“ dokumentai su įterptais virusais), o jų pagrindinis taikinys – dominuojančių finansinių institucijų darbuotojai. Kai auka jau yra užkrėsta užpuolikai įdiegia priedą skirtą šnipinėjimui, duomenų vagystėms ir nuotoliniam kenksmingų programų valdymui.
„Kaspersky Lab“ tyrėjai apskaičiavo, kad „Carbanak“ grupė pavogė bent 1 mlrd. USD. Nuo 2013 m. šie žmonės užpuolė daugiau nei 100 bankų, elektroninio mokėjimo sistemų ir kitų finansinių organizacijų mažiausiai 30-yje šalių visoje Europoje, Azijoje, Šiaurės ir Pietų Amerikoje bei kituose regionuose, taip iš aukų pavogdama daugiau nei milijardą dolerių.
Remdamiesi sėkmingais „Carbanak“ tyrimais, 2016 m. „Kaspersky Lab“ atrado dar dvi grupes veikiančias labai panašiai kaip „Carbanak“ – „Metel“ ir „GCMAN“. Šios grupės puolė finansines organizacijas naudodami slaptą APT stiliaus žvalgybą ir pritaikytą kenkėjišką programinę įrangą, teisėtą programinę įrangą ir naujas, novatoriškas schemas. Kiti veikėjai (pvz., „Lazarus“ ir „Silence“) taip pat naudojo „Carbanak“ tipo metodus, taktiką ir procedūras.
Kenkėjiškuose failuose ir aukų kompiuteriuose aptikti artefaktai rodo, kad „Carbanak“ programų kūrėjai yra rusakalbiai. Nors kiekvienoje šalyje vykdydama kibernetinę nusikalstamą veiklą grupė ieškojo asmenų, kuriems tos šalies kalba yra gimtoji.
Securityweek.com skelbia, kad Ispanijos Vidaus reikalų ministerija informavo, jog suimtasis asmuo yra Ukrainos pilietis „Denisas K.“. Nusikalstamą veiką jis vykdė iš Ispanijos, pagrindiniai jo talkininkai buvo trys Ukrainos ir Rusijos piliečiai, su kuriais buvo bendraujama tik internetu – gyvai susitikę jie niekada nebuvo.
Nurodoma, kad „Carbanak“ grupuotė, prasiskverbusi į bankų kompiuterių sistemas, stebėdavo jų veiklą, gilindavosi į vidinius šių institucijų procesus, o sukaupus pakankamai žinių pasiųsdavo nurodymą konkrečiam bankomatui išduoti tam tikrą grynųjų pinigų sumą be jokio fizinio kontakto su klientu ar kokia nors mokėjimo kortele. Prie šių bankomatų jau budėdavo asmenys, paimdavę pinigus. Taip pat pinigai buvo vagiami pervedant dideles sumas į savo sąskaitas, imituojant banko darbuotojų veiklą arba dirbtinai padidinant plėšikų banko sąskaitų balansus, taip suteikiant galimybę išgryninti didesnes sumas, nei būta sąskaitose.
