Namun baru-baru ini, Lazarus juga terlibat dalam serangan bermotif keuangan, termasuk peristiwa pencurian uang sebesar USD81 juta dolar dari Bank Sentral Bangladesh dan serangan ransomware WannaCry.
Serangan Lazarus "FASTCash" ini berhasil menguras uang dari mesin Anjungan Tunai Mandiri (ATM) dengan melakukan penarikan tunai dari bank-bank di Asia dan Afrika kurang lebih sejak tahun 2016.
Untuk melakukan penarikan palsu tersebut, Lazarus pertama-tama menyusup ke jaringan bank yang disasar dan membahayakan server aplikasi switch yang menangani transaksi ATM.
Setelah server ini disusupi, malware yang sebelumnya tidak dikenal (Trojan.Fastcash) kemudian disebarkan.
Analisis Symantec telah menemukan bahwa eksekusi ini sebenarnya adalah malware, yang di namakan Trojan.Fastcash. Trojan.Fastcash memiliki dua fungsi utama:
- Memantau pesan masuk dan memotong permintaan transaksi penipuan yang dihasilkan penyerang untuk mencegah mereka mencapai aplikasi switch yang memproses transaksi.
- Berisi logika yang menghasilkan salah satu dari tiga respon rekayasa terhadap permintaan transaksi palsu.
Malware ini kemudian memanipulasi permintaan penarikan tunai yang dilakukan oleh kelompok Lazarus dan mengirimkan tanggapan persetujuan palsu, yang memungkinkan penyerang mencuri uang tunai dari ATM.
Menurut peringatan dari pemerintah AS, sebuah insiden pada tahun 2017 menemukan kejadian penarikan uang tunai secara bersamaan dari ATM di lebih dari 30 negara yang berbeda.
Dalam insiden besar lainnya pada tahun 2018, uang tunai telah ditarik dari ATM di 23 negara. Sampai saat ini, operasi Lazarus FASTCash diperkirakan telah mencuri uang bernilai puluhan juta dolar.
Symantec sendiri memiliki beberapa solusi perlindungan dari serangan Lazarus FASTCash. Langkah pertama yaitu organisasi harus memastikan bahwa sistem operasi dan semua software lainnya sudah diperbarui.
Pembaruan software akan selalu menyertakan patch untuk kerentanan keamanan yang baru ditemukan yang dapat dimanfaatkan oleh penyerang.
Dalam semua serangan FASTCash yang dilaporkan hingga saat ini, para penyerang telah membahayakan server aplikasi perbankan yang menjalankan versi sistem operasi AIX yang tidak didukung, di luar akhir dari tanggal dukungan paket layanan mereka.