Criminelen hebben bij verschillende banken in de voormalige Sovjet-Unie zo'n 40 miljoen dollar weten te stelen door de kredietlimiet van betaalpassen te wijzigen, zo meldt securitybedrijf Trustwave. De aanval bestond uit verschillende fases. Als eerste werden katvangers ingeschakeld die bij verschillende banken rekeningen openden.

Hierna wisten de aanvallers via social engineering en spearphishingmails toegang tot het netwerk van de bank te krijgen. Vervolgens konden de aanvallers zich lateraal door het netwerk bewegen, onder andere doordat de banken op alle machines hetzelfde wachtwoord voor de lokale beheerder gebruikten. Ook slaagden de aanvallers omdat beheerders voor routinewerkzaamheden het domeinbeheerdersaccount gebruikten.

Vanaf het gehackte banknetwerk werd vervolgens de partij gehackt die voor de bank de pinpastransacties verwerkt. Daar werden weer de inloggegevens gestolen van medewerkers die op de kaartbeheerapplicatie inlogden. Via deze applicatie kunnen aanpassingen aan de betaalpas van een bankklant worden goedgekeurd. Zo werd de kredietlimiet aangepast van de standaard 0 dollar naar bedragen tussen de 25.000 en 35.000 dollar.

De betaalpassen die de katvangers van de banken hadden gekregen waren ondertussen naar het buitenland verstuurd, waar andere katvangers ze gebruikten om geld op te nemen. Dit gebeurde zonder dat er een alarm bij de bank afging. Om forensisch onderzoek te bemoeilijken wisten de aanvallers het Master Boot Record van de primaire computer die voor het uitvoeren van de aanval werd gebruikt.

De aanvallers hadden het op verschillende banken voorzien. Het gemiddelde schadebedrag bedraagt 5 miljoen dollar per bank. De totale schade is op zo'n 40 miljoen dollar vastgesteld, maar Trustwave stelt dat dit hoger kan liggen omdat er mogelijk nog aanvallen zijn die niet zijn ontdekt of onderzocht.