Eksperci z Kaspersky Lab wykryli atak ukierunkowany na klientów dużego banku europejskiego. Według danych znalezionych na serwerze wykorzystywanym przez cyberprzestępców, prawdopodobnie w przeciągu zaledwie jednego tygodnia cyberprzestępcy ukradli ponad pół miliona euro z kont w tym banku. Pierwsze oznaki kampanii odkryto 20 stycznia tego roku, gdy eksperci z Kaspersky Lab wykryli cyberprzestępczy serwer kontroli.
Panel kontroli serwera wskazywał na dowód wykorzystania programu trojańskiego do kradzieży pieniędzy z kont bankowych klientów.
Na serwerze eksperci wykryli również dane o transakcjach zawierające informacje o tym, jakie kwoty zostały pobrane z poszczególnych kont. Ogólnie, zidentyfikowano 190 ofiar, większość z nich we Włoszech oraz Turcji. Kwoty skradzione z kont bankowych, według znalezionych danych, wynosiły od 1 700 do 39 000 euro.
W momencie wykrycia centrum kontroli kampania trwała już co najmniej od roku – rozpoczęła się nie później niż 13 stycznia 2014 r. W tym czasie cyberprzestępcy zdołali ukraść ponad 500 000 euro. Dwa dni po wykryciu serwera przez zespół GReAT przestępcy usunęli wszelkie ślady, które mogłyby do nich doprowadzić. Jednak eksperci uważają, że ma to prawdopodobnie związek ze zmianami w infrastrukturze technicznej wykorzystanej w szkodliwej działalności i nie zapowiada końca kampanii The Luuuk.
– Wkrótce po wykryciu serwera kontroli skontaktowaliśmy się z działem bezpieczeństwa banku oraz organami ścigania i przekazaliśmy im wszystkie nasze odkrycia – powiedział Vicente Diaz, główny badacz ds. bezpieczeństwa, Kaspersky Lab.
Wykorzystane szkodliwe narzędzia
W przypadku The Luuuk, eksperci mają podstawę sądzić, że przechwytywanie danych finansowych i oszukańcze transakcje miały miejsce natychmiast po zalogowaniu się użytkownika do swojego konta bankowego online.
– Na serwerze kontroli nie znaleźliśmy żadnej informacji wskazującej, jaki konkretny szkodliwy program został wykorzystany w tej kampanii. Jednak wiele istniejących wariantów Zeusa (Citadel, SpyEye, IceIX itd.) posiada tę niezbędną funkcję. Uważamy, że szkodliwym programem wykorzystanym w kampanii mogła być odmiana Zeusa wykorzystująca wyrafinowane metody wstrzykiwania sieciowego – dodał Vicente Diaz.
Metody kradzieży pieniędzy
Skradzione pieniądze zostały przekazane na konta oszustów w interesujący sposób. Eksperci z Kaspersky Lab zauważyli nietypową metodę zorganizowania pracy słupów polegającą na tym, że osoby biorące udział w oszustwie otrzymują część skradzionych pieniędzy za pośrednictwem specjalnie utworzonych do tego celu kont bankowych i wypłacają je z bankomatów. Pojawiły się dowody istnienia kilku różnych grup słupów, z których każdej przydzielono inną kwotę. Jedna z grup miała dokonać transferu kwot w wysokości 40-50 000 euro, inna – 15-20 000 euro, trzecia natomiast – nie więcej niż 2 000 euro.
– Te różnice w wysokości kwoty powierzonej poszczególnym słupom mogą odzwierciedlać różne stopnie zaufania wobec każdej grupy. Wiemy, że członkowie takich szajek często oszukują swoich wspólników i uciekają z pieniędzmi, które mieli wypłacić. Szefowie kampanii The Luuuk mogą próbować zabezpieczyć się przed takimi stratami poprzez tworzenie różnych grup w zależności od poziomu zaufania: im większą kwotą pieniędzy ma obracać słup, tym większym musi cieszyć się zaufaniem – komentuje Vicente Diaz.
Serwer kontroli związany z kampanią The Luuuk został zamknięty wkrótce po rozpoczęciu dochodzenia, jednak poziom złożoności operacji sugeruje, że osoby atakujące nadal będą szukały nowych ofiar. Eksperci z Kaspersky Lab w dalszym ciągu prowadzą dochodzenie w sprawie aktywności The Luuuk.
Rozwiązania bezpieczeństwa dla The Luuuk
Dowody wykryte przez ekspertów z Kaspersky Lab wskazują, że kampania została najprawdopodobniej zorganizowana przez profesjonalnych przestępców. Jednak szkodliwe narzędzia, jakie wykorzystali do kradzieży pieniędzy, mogą być skutecznie zwalczane przy użyciu technologii bezpieczeństwa, takich jak Kaspersky Fraud Prevention – wielowarstwowej platformy, pomagającej organizacjom finansowym zabezpieczać swoich klientów przed internetowymi oszustwami finansowymi. Platforma zawiera komponenty, które chronią urządzenia klientów przed różnymi rodzajami szkodliwej działalności, łącznie z atakami Man-in-the-Browser (właśnie takie podejście zastosowano w przypadku The Luuuk), jak również narzędzia, które pozwalają firmom wykrywać i blokować oszukańcze transakcje.