Potrivit registrelor descoperite pe serverele utilizate de atacatori, infractorii cibernetici au furat peste jumătate de milion de euro din conturile bancare, pe parcursul unei singure săptămâni. Primele semne ale campaniei au fost descoperite pe 20 ianuarie, anul acesta, în momentul în care experții Kaspersky Lab au descoperit un server de comandă și control pe internet. Panoul de control al serverului a indicat faptul că infractorii foloseau un troian pentru a fura bani din conturile bancare ale clienților.
De asemenea, experții au detectat pe același server și jurnale pentru tranzacții, cu informații despre sumele de bani care au fost extrase din fiecare cont. În total au fost identificate peste 190 de victime, majoritatea din Italia și din Turcia. Informațiile descoperite în registre arată că sumele extrase din fiecare cont bancar au variat de la 1.700 la 39.000 de euro.
În momentul în care a fost descoperit serverul de comandă și control, campania care începuse pe 13 ianuarie 2014 era în desfășurare de cel puțin o săptămână. În acest interval, infractorii cibernetici au sustras peste 500.000 de euro din conturile bancare. La două zile după ce experții GReAT au descoperit serverul de comandă și control, atacatorii au eliminat orice urmă de dovadă care ar fi putut fi utilizată pentru a-i identifica. Totuși, specialiștii Kaspersky Lab cred că acest lucru s-a întâmplat din cauza schimbărilor făcute la nivelul infrastructurii tehnice utilizate în cadrul campaniei Luuuk, nu pentru că aceasta ar fi fost sistată.
„La scurt timp după ce am detectat serverul de comandă și control, am contactat serviciul de securitate al băncii și autorităţile guvernamentale și le-am oferit toate dovezile pe care le-am descoperit,” a declarat Vicente Diaz, Principal Security Researcher în cadrul Kaspersky Lab.
Instrumentele utilizate în cadrul campaniei Luuuk
În cazul LUUUK, experții au motive să creadă că datele financiare importante au fost interceptate automat și că tranzacțiile frauduloase au avut loc atunci când victimele și-au accesat online conturile bancare.
„Nu am descoperit și informații legate de programul malware specific utilizat în această campanie pe serverul de comandă și control,” a explicat Vicente Diaz, Principal Security Researcher în cadrul Kaspersky Lab. „Totuși, există o serie de versiuni Zeus (Citadel, SpyEye, IceIX, etc.) care ar fi putut fi utilizate. Credem că malware-ul folosit în această campanie ar putea fi o versiune de Zeus care a utilizat injectări web sofisticate asupra victimelor,” a adăugat Vicente Diaz.
Schema decapitalizării conturilor bancare
Banii sustrași au trecut în conturile bancare ale infractorilor într-o manieră interesantă și neobișnuită. Experții Kaspersky Lab au observat o caracteristică distinctivă în organizarea tranzacțiilor (sau a intermedierilor). Participanții la escrocherie primeau o parte din banii furați în conturi bancare special create și îi extrăgeau prin intermediul ATM-urilor. S-au descoperit dovezi care atestă existența mai multor grupuri de infractori, fiecare având alocate sume diferite de bani. Un grup a transferat sume de 40-50.000 de euro, altul 15-20.000 de euro și al treilea nu mai mult de 2.000 de euro.
„Aceste sume diferite de bani pentru fiecare grup pot fi un indicator al nivelului de încredere dintre membrii grupului,” a declarat Vicente Diaz. „Știm că participanții la acest tip de fraudă își păcălesc partenerii și fug cu banii pe care aceştia din urmă ar fi trebuit să îi primească. Şefii operaţiunii Luuuk ar putea încerca să evite aceste pierderi organizând diferite grupuri cu diferite grade de încredere: grupul este de încredere dacă i se alocă o sumă mare de bani spre a fi tranzacționată,” a completat Vicente Diaz.
Serverul de comandă și control utilizat în campania de fraudare bancară Luuuk a fost închis la scurt timp după ce a început investigația. Totuși, complexitatea operațiunii MITB (Money in the bank) sugerează că atacatorii vor continua să caute noi victime. Experții Kaspersky Lab continuă investigaţiile cu privire la activităţile operaţiunii Luuuk.
Soluții de securitate pentru Luuuk
Dovezile descoperite de experții Kaspersky Lab indică faptul că organizatorii campaniei sunt cel mai probabil infractori cu experienţă. Totuși, instrumentele utilizate de aceștia pentru a fura bani pot fi contracarate eficient cu ajutorul tehnologiilor de securitate. De exemplu, Kaspersky Lab a dezvoltat Kaspersky Fraud Prevention – o platformă cu multiple niveluri de securitate pentru a ajuta organizațiile financiare să-și protejeze clienții de fraudele financiare online. Platforma încorporează instrumente care protejează dispozitivele utilizate de clienți de o serie de atacuri, inclusiv atacurile de tip Man-in-the-Browser. De asemenea, Kaspersky Fraud Prevention dispune de funcții speciale care ajută companiile să detecteze și să blocheze tranzacțiile frauduloase.