Expertii Global Research and Analysis Team din cadrul Kaspersky Lab au descoperit urme ale unui atac indreptat impotriva clientilor unei mari banci europene. Potrivit registrelor descoperite pe serverele utilizate de atacatori, infractorii cibernetici au furat peste jumatate de milion de euro din conturile bancare, pe parcursul unei singure saptamani. Primele semne ale campaniei au fost descoperite pe 20 ianuarie, anul acesta, in momentul in care expertii Kaspersky Lab au descoperit un server de comanda si control pe internet. Panoul de control al serverului a indicat faptul ca infractorii foloseau un troian pentru a fura bani din conturile bancare ale clientilor, potrivit unui comunicat de presa Kaspersky.

De asemenea, expertii au detectat pe acelasi server si jurnale pentru tranzactii, cu informatii despre sumele de bani care au fost extrase din fiecare cont. In total au fost identificate peste 190 de victime, majoritatea din Italia si din Turcia. De precizat este faptul ca nu exista victime din Romania, in conditiile in care banca targetata nu are filiale deschise aici. Informatiile descoperite in registre arata ca sumele extrase din fiecare cont bancar au variat de la 1.700 la 39.000 de euro.
In momentul in care a fost descoperit serverul de comanda si control, campania care incepuse pe 13 ianuarie 2014 era in desfasurare de cel putin o saptamana. In acest interval, infractorii cibernetici au sustras peste 500.000 de euro din conturile bancare.
Instrumentele utilizate in cadrul campaniei Luuuk
In cazul LUUUK, expertii au motive sa creada ca datele financiare importante au fost interceptate automat si ca tranzactiile frauduloase au avut loc atunci cand victimele si-au accesat online conturile bancare.
"Nu am descoperit si informatii legate de programul malware specific utilizat in aceasta campanie pe serverul de comanda si control,” a explicat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab. "Totusi, exista o serie de versiuni Zeus (Citadel, SpyEye, IceIX, etc.) care ar fi putut fi utilizate. Credem ca malware-ul folosit in aceasta campanie ar putea fi o versiune de Zeus care a utilizat injectari web sofisticate asupra victimelor", a adaugat Vicente Diaz.

Schema decapitalizarii conturilor bancare
Banii sustrasi au trecut in conturile bancare ale infractorilor intr-o maniera interesanta si neobisnuita. Expertii Kaspersky Lab au observat o caracteristica distinctiva in organizarea tranzactiilor (sau a intermedierilor). Participantii la escrocherie primeau o parte din banii furati in conturi bancare special create si ii extrageau prin intermediul ATM-urilor. S-au descoperit dovezi care atesta existenta mai multor grupuri de infractori, fiecare avand alocate sume diferite de bani. Un grup a transferat sume de 40-50.000 de euro, altul 15-20.000 de euro si al treilea nu mai mult de 2.000 de euro.
"Aceste sume diferite de bani pentru fiecare grup pot fi un indicator al nivelului de incredere dintre membrii grupului", a declarat Vicente Diaz. „Stim ca participantii la acest tip de frauda isi pacalesc partenerii si fug cu banii pe care acestia din urma ar fi trebuit sa ii primeasca. Sefii operatiunii Luuuk ar putea incerca sa evite aceste pierderi organizand diferite grupuri cu diferite grade de incredere: grupul este de incredere daca i se aloca o suma mare de bani spre a fi tranzactionata,” a completat Vicente Diaz.
Serverul de comanda si control utilizat in campania de fraudare bancara Luuuk a fost inchis la scurt timp dupa ce a inceput investigatia. Totusi, complexitatea operatiunii MITB (Money in the bank) sugereaza ca atacatorii vor continua sa caute noi victime. Expertii Kaspersky Lab continua investigatiile cu privire la activitatile operatiunii Luuuk.
Dovezile descoperite de expertii Kaspersky Lab indica faptul ca organizatorii campaniei sunt cel mai probabil infractori cu experienta. Totusi, instrumentele utilizate de acestia pentru a fura bani pot fi contracarate eficient cu ajutorul tehnologiilor de securitate.
Mai multe informatii despre campania Luuuk puteti citi pe Securelist.com.