Expertii Global Research and Analysis Team din cadrul Kaspersky Lab au descoperit urme ale unui atac indreptat impotriva clientilor unei mari banci europene.
Cel putin 190 de europeni au cazut victime unor infractori informatici si au pierdut bani din conturi. Majoritatea sunt din Italia si din Turcia. Informatiile descoperite in registre arata ca sumele extrase din fiecare cont bancar au variat de la 1.700 la 39.000 de euro. Primele semne au fost descoperite pe 20 ianuarie, anul acesta, in momentul in care expertii Kaspersky Lab au descoperit un server de comanda si control pe internet.
In momentul in care a fost descoperit serverul de comanda si control, campania pusa la cale de infractorii cibernetici era in desfasurare de cel putin o saptamana. In acest interval, ei au sustras peste 500.000 de euro din conturile bancare. La doua zile dupa ce expertii GReAT au descoperit serverul de comanda si control, atacatorii au eliminat orice urma de dovada care ar fi putut fi utilizata pentru a-i identifica. Totusi, specialistii Kaspersky Lab cred ca acest lucru s-a intamplat din cauza schimbarilor facute la nivelul infrastructurii tehnice utilizate in cadrul campaniei Luuuk, nu pentru ca aceasta ar fi fost sistata.
„La scurt timp dupa ce am detectat serverul de comanda si control, am contactat serviciul de securitate al bancii si autoritatile guvernamentale si le-am oferit toate dovezile pe care le-am descoperit,” a declarat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab.
Instrumentele utilizate in cadrul campaniei Luuuk
In cazul LUUUK, expertii au motive sa creada ca datele financiare importante au fost interceptate automat si ca tranzactiile frauduloase au avut loc atunci cand victimele si-au accesat online conturile bancare.
„Nu am descoperit si informatii legate de programul malware specific utilizat in aceasta campanie pe serverul de comanda si control,” a explicat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab. „Totusi, exista o serie de versiuni Zeus (Citadel, SpyEye, IceIX, etc.) care ar fi putut fi utilizate. Credem ca malware-ul folosit in aceasta campanie ar putea fi o versiune de Zeus care a utilizat injectari web sofisticate asupra victimelor,” a adaugat Vicente Diaz.
Schema decapitalizarii conturilor bancare
Banii sustrasi au trecut in conturile bancare ale infractorilor intr-o maniera interesanta si neobisnuita. Expertii Kaspersky Lab au observat o caracteristica distinctiva in organizarea tranzactiilor (sau a intermedierilor). Participantii la escrocherie primeau o parte din banii furati in conturi bancare special create si ii extrageau prin intermediul ATM-urilor. S-au descoperit dovezi care atesta existenta mai multor grupuri de infractori, fiecare avand alocate sume diferite de bani. Un grup a transferat sume de 40-50.000 de euro, altul 15-20.000 de euro si al treilea nu mai mult de 2.000 de euro.
„Aceste sume diferite de bani pentru fiecare grup pot fi un indicator al nivelului de incredere dintre membrii grupului,” a declarat Vicente Diaz. „Stim ca participantii la acest tip de frauda isi pacalesc partenerii si fug cu banii pe care acestia din urma ar fi trebuit sa ii primeasca. Sefii operatiunii Luuuk ar putea incerca sa evite aceste pierderi organizand diferite grupuri cu diferite grade de incredere: grupul este de incredere daca i se aloca o suma mare de bani spre a fi tranzactionata,” a completat Vicente Diaz.
Serverul de comanda si control utilizat in campania de fraudare bancara Luuuk a fost inchis la scurt timp dupa ce a inceput investigatia. Totusi, complexitatea operatiunii MITB (Money in the bank) sugereaza ca atacatorii vor continua sa caute noi victime. Expertii Kaspersky Lab continua investigatiile cu privire la activitatile operatiunii Luuuk.
Solutii de securitate pentru Luuuk
Dovezile descoperite de expertii Kaspersky Lab indica faptul ca organizatorii campaniei sunt cel mai probabil infractori cu experienta. Totusi, instrumentele utilizate de acestia pentru a fura bani pot fi contracarate eficient cu ajutorul tehnologiilor de securitate. De exemplu, Kaspersky Lab a dezvoltat Kaspersky Fraud Prevention – o platforma cu multiple niveluri de securitate pentru a ajuta organizatiile financiare sa-si protejeze clientii de fraudele financiare online. Platforma incorporeaza instrumente care protejeaza dispozitivele utilizate de clienti de o serie de atacuri, inclusiv atacurile de tip Man-in-the-Browser. De asemenea, Kaspersky Fraud Prevention dispune de functii speciale care ajuta companiile sa detecteze si sa blocheze tranzactiile frauduloase.