Kaspersky Lab, INTERPOL, Europol và một số cơ quan hành pháp đã tìm ra nhóm Carbanak vào năm 2015. Vào cuối tháng 3-2018, kẻ cầm đầu băng nhóm này đã bị bắt giữ tại Alicante, Tây Ban Nha.
Vào thời điểm bị phát hiện năm 2015, Carbanak đang sử dụng một loạt các công cụ trong đó có một chương trình tên Carbanak. Sau khi Kaspersky Lab công bố thông tin vào năm 2015, nhóm này đã biến đổi công cụ và bắt đầu sử dụng phần mềm độc hại trên nền tảng Cobalt-strike cũng như tên gọi và cấu trúc máy chủ.
Nhóm này sử dụng phương pháp tấn công phi kỹ thuật như email phising với các tập tin độc hại (chẳng hạn như file Word có nhúng phần mềm khai thác lỗ hổng), nhắm vào nhân viên các tổ chức tài chính mà chúng quan tâm. Một khi nạn nhân bị lây nhiễm, kẻ tấn công sẽ cài một backdoor thực hiện công tác gián điệp, đánh cắp và quản lý dữ liệu các máy chủ bị lây nhiễm từ xa và chỉ việc chờ đợi các giao dịch tài chính diễn ra.
Vào thời điểm đó, các nhà nghiên cứu tại Kaspersky Lab ước tính nhóm này đã đánh cắp gần 1 tỷ đôla Mỹ. Từ năm 2013, chúng đã tấn công hơn 100 ngân hàng, hệ thống thanh toán điện tử và nhiều tổ chức tài chính khác tại ít nhất 30 quốc gia châu Âu, châu Á, Bắc & Nam Mỹ và những vùng lãnh thổ khác, đánh cắp hơn 1 tỷ đôla từ các nạn nhân.
Nhờ nghiên cứu thành công về nhóm Carbanak, năm 2016, Kaspersky Lab cũng đã phát hiện 2 nhóm khác có cách hoạt động tương tự Carbanak: Metal và GCMAN. Chúng tấn công các tổ chức tài chính bằng phần mềm độc hại tùy biến để do thám kết hợp với các phần mềm hợp pháp để đánh cắp tiền. Ngoài ra, Lazarus và Silence là hai nhóm cũng sử dụng thủ pháp và quy trình tương tự Carbanak.