Los expertos del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky Lab han descubierto evidencia de un ataque dirigido contra los clientes de un importante banco europeo. Según los registros encontrados en el servidor utilizado por los atacantes, los ciberdelincuentes robaron más de medio millón de euros de cuentas de ese banco aparentemente en el espacio de una semana. Los primeros signos de esta campaña se descubrieron el 20 de enero de este año, cuando los expertos de Kaspersky Lab detectaron un servidor de C&C (de Comando y Control) en la red. El panel de control del servidor indicaba evidencia de un programa Troyano que se utilizaba para robar dinero de las cuentas bancarias de los clientes.
Los expertos también detectaron registros de transacciones en el servidor, que contenían información acerca de las sumas de dinero que se habían tomado de las cuentas. En total, su pudieron identificar más de 190 víctimas, la mayoría de ellas ubicadas en Italia y Turquía. Las cantidades robadas de cada cuenta bancaria, de acuerdo con los registros, oscilaron entre 1,700 y 39,000 euros.
La campaña tenía operando por lo menos una semana cuando se descubrió el servidor de C&C, tras haber comenzado a más tardar el 13 de enero de 2014. En ese periodo los ciberdelincuentes robaron con éxito más de 500,000 euros. Dos días después de que el equipo GReAT descubrió el servidor de C&C, los delincuentes eliminaron cada pizca de evidencia que pudiera ser utilizada para rastrearlos. Sin embargo, los expertos piensan que esto está probablemente vinculado a cambios en la infraestructura técnica utilizada en la campaña maliciosa y no con el supuesto fin de la campaña Luuuk.
“Poco después de que detectamos este servidor de C&C, nos pusimos en contacto con el servicio de seguridad del banco y los organismos encargados de hacer cumplir la ley, y les presentamos toda nuestra evidencia”, dijo Vicente Díaz, Investigador Principal de Seguridad en Kaspersky Lab.
Se utilizaron herramientas maliciosas
En el caso LUUUK, los expertos tienen razones para creer que se interceptaron automáticamente datos financieros importantes y se llevaron al cabo transacciones fraudulentas tan pronto como las víctimas iniciaban sus sesiones en sus cuentas bancarias en línea.
“En el servidor de C&C detectamos que no había información en cuanto a qué programa de malware específico se utilizó en esta campaña. Sin embargo, muchas variaciones de Zeus existentes (Citadel, SpyEye, IceIX, etc.) – tienen esa capacidad necesaria. Creemos que el malware utilizado en esta campaña podría ser una versión de Zeus utilizando inyecciones web sofisticadas en las víctimas”, añadió Vicente Díaz.
Estrategias de desinversión
El dinero robado pasaba a las cuentas de los ladrones de una manera interesante e inusual. Nuestros expertos notaron una peculiaridad distintiva en la organización de los llamados “drops” (o mulas de dinero), en el que los participantes de la estafa recibían algo del dinero robado en cuentas bancarias especialmente creadas para esto y cobraban en efectivo a través de cajeros automáticos. Hubo evidencias de diferentes grupos ‘drop’, cada uno asignado con diferentes cantidades de dinero. Un grupo fue responsable de transferir sumas de 40-50,000 euros, otro de 15-20,000 y el tercero de no más de 2,000 euros.
“Estas diferencias en la cantidad de dinero confiadas a diferentes “drops” pueden ser indicativos de distintos niveles de confianza para cada tipo de “drop”.
Sabemos que miembros de estas estrategias con frecuencia engañan a sus socios en el delito y se fugan con el dinero que se supone cobrarían. Los jefes de Luuuk puede que estén tratando de protegerse contra estas pérdidas mediante la creación de diferentes grupos con diferentes niveles de confianza: cuanto más dinero se le pide manejar a un ‘drop’, mayor la confianza que se le tiene”, añadió Vicente Díaz.
El servidor de C&C relacionado con Luuuk se apagó poco después de haber iniciado la investigación. Sin embargo, el nivel de complejidad de la operación “hombre en el navegador” (MITB) sugiere que los atacantes continuarán buscando nuevas víctimas de esta campaña. Los expertos de Kaspersky Lab están involucrados en la investigación en curso en las actividades de Luuuk.
Kaspersky Fraud Prevention contra Luuuk
La evidencia descubierta por los expertos de Kaspersky Lab indica que la campaña fue organizada muy probablemente por delincuentes profesionales. Sin embargo, las herramientas maliciosas que utilizaron para robar dinero pueden ser contrarrestadas eficazmente con tecnologías de seguridad. Por ejemplo, Kaspersky Lab ha desarrollado Kaspersky Fraud Prevention – una plataforma multinivel para ayudar a las organizaciones financieras a proteger a sus clientes contra fraudes financieros en línea. La plataforma incluye componentes que salvaguardan los dispositivos de los clientes de muchos tipos de ataques, incluyendo ataques MITB, así como herramientas que pueden ayudar a las empresas a detectar y bloquear transacciones fraudulentas.
Para obtener más información sobre la campaña Luuuk, lea nuestro blog en Securelist.com