Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/06/2014
La campanya de frau bancari Luuuk: mig milió d'euros robats en una sola setmana
L’equip d’Anàlisi i Investigació Global (GreAT) de Kaspersky Lab ha descobert l'evidència d’un atac dirigit contra els clients d’un important banc europeu.
Segons els registres trobats en el servidor utilitzat pels atacants, els ciberdelinqüents van robar més de mig milió d’euros de comptes d’eixe banc aparentment en l’espai d’una setmana. Els primers signes d’esta campanya es van descobrir el 20 de gener d’enguany, quan els experts de Kaspersky Lab van detectar un servidor de C&C (de comandament i control) en la xarxa. El panell de control del servidor indicava l'evidència d’un programa troià que s’utilitzava per a robar diners dels comptes bancaris dels clients.
Els experts també van detectar registres de transaccions en el servidor, que contenien informació sobre les sumes de diners que s’havien pres dels comptes. En total, van poder identificar més de 190 víctimes, la majoria d’elles ubicades a Itàlia i Turquia. Les quantitats robades de cada compte bancari, d’acord amb els registres, van oscil·lar entre 1,700 i 39,000 euros.
La campanya portava operant almenys una setmana quan es va descobrir el servidor de C&C, després d’haver començat com a molt tard el 13 de gener de 2014. En eixe període els ciberdelinqüents van robar amb èxit més de 500,000 euros. Dos dies després que l’equip GReAT va descobrir el servidor de C&C, els delinqüents van eliminar cada traça d’evidència que poguera ser utilitzada per a rastrejar-los. No obstant això, els experts pensen que açò està probablement vinculat a canvis en la infraestructura tècnica utilitzada en la campanya maliciosa i no amb el suposat fi de la campanya Luuuk.
“Poc després de detectar este servidor de C&C, ens vam posar en contacte amb el servici de seguretat del banc i els organismes encarregats de fer complir la llei, i els presentàrem tota la nostra evidència”, va dir Vicente Díaz, investigador principal de seguretat en Kaspersky Lab.
Es van utilitzar ferramentes malicioses
En el cas LUUUK, els experts tenen raons per a creure que es van interceptar automàticament dades financeres importants i es van portar a terme transaccions fraudulentes tan prompte com les víctimes iniciaven les seues sessions en els seus comptes bancaris en línia.
“En el servidor de C&C detectàrem que no hi havia informació quant a quin programa de programari maliciós específic es va utilitzar en esta campanya. No obstant això, moltes variacions de Zeus existents (Citadel, SpyEye, IceIX, etc.) tenen eixa capacitat necessària. Creiem que el programari maliciós utilitzat en esta campanya podria ser una versió de Zeus que utilitza injeccions web sofisticades en les víctimes”, va afegir Vicente Díaz.
Estratègies de desinversió
Els diners robats passaven als comptes dels lladres d’una manera interessant i inusual. Els nostres experts van notar una peculiaritat distintiva en l’organització dels anomenats drops (o camells de diners), en què els participants de l’estafa rebien una part dels diners robats en comptes bancaris especialment creats per a açò i cobraven en efectiu a través de caixers automàtics. Va haver-hi evidències de diferents grups drop, cada un assignat amb diferents quantitats de diners. Un grup va ser responsable de transferir sumes de 40-50,000 euros, un altre de 15-20,000 i el tercer de no més de 2,000 euros.
“Estes diferències en la quantitat de diners confiats a diferents drops poden ser indicatius de distints nivells de confiança per a cada tipus de drop. Sabem que membres d’estes estratègies ben sovint enganyen els seus socis en el delicte i s’escapen amb els diners que se suposa que cobrarien. Els caps de Luuuk potser estaran tractant de protegir-se contra estes pèrdues per mitjà de la creació de diferents grups amb diferents nivells de confiança: com més diners se li demana manejar a un drop, major confiança se li té”, va afegir Vicente Díaz.
El servidor de C&C relacionat amb Luuuk es va apagar poc després d’haver iniciat la investigació. No obstant això, el nivell de complexitat de l’operació “Home en el navegador” (MITB) suggerix que els atacants continuaran buscant noves víctimes d’esta campanya. Els experts de Kaspersky Lab estan involucrats en la investigació en curs en les activitats de Luuuk.
Kaspersky Fraud Prevention contra Luuuk
L’evidència descoberta pels experts de Kaspersky Lab indica que la campanya va ser organitzada molt probablement per delinqüents professionals. No obstant això, les ferramentes malicioses que van utilitzar per a robar diners poden ser contrarestades eficaçment amb tecnologies de seguretat. Per exemple, Kaspersky Lab ha desenrotllat Kaspersky Fraud Prevention, una plataforma multinivel per a ajudar les organitzacions financeres a protegir als seus clients contra fraus financers en línia. La plataforma inclou components que salvaguarden els dispositius dels clients de molts tipus d’atacs, incloent-hi atacs MITB, així com ferramentes que poden ajudar les empreses a detectar i bloquejar transaccions fraudulentes.
Per a obtindre més informació sobre la campanya Luuuk, llegiu el nostre blog en Securelist.com.