Campania de fraude bancare Luuuk: infractorii cibernetici au furat jumatate de milion de euro intr-o singura saptamana


credit-card-frauds                     Expertii Global Research and Analysis Team din cadrul Kaspersky Lab au descoperit urme ale unui atac indreptat impotriva clientilor unei mari banci europene. Potrivit registrelor descoperite pe serverele utilizate de atacatori, infractorii cibernetici au furat peste jumatate de milion de euro din conturile bancare, pe parcursul unei singure saptamani. Primele semne ale campaniei au fost descoperite pe 20 ianuarie, anul acesta, in momentul in care expertii Kaspersky Lab au descoperit un server de comanda si control pe internet. Panoul de control al serverului a indicat faptul ca infractorii foloseau un troian pentru a fura bani din conturile bancare ale clientilor.

De asemenea, expertii au detectat pe acelasi server si jurnale pentru tranzactii, cu informatii despre sumele de bani care au fost extrase din fiecare cont. In total au fost identificate peste 190 de victime, majoritatea din Italia si din Turcia. Informatiile descoperite in registre arata ca sumele extrase din fiecare cont bancar au variat de la 1.700 la 39.000 de euro.

In momentul in care a fost descoperit serverul de comanda si control, campania care incepuse pe 13 ianuarie 2014 era in desfasurare de cel putin o saptamana. In acest interval, infractorii cibernetici au sustras peste 500.000 de euro din conturile bancare. La doua zile dupa ce expertii GReAT au descoperit serverul de comanda si control, atacatorii au eliminat orice urma de dovada care ar fi putut fi utilizata pentru a-i identifica. Totusi, specialistii Kaspersky Lab cred ca acest lucru s-a intamplat din cauza schimbarilor facute la nivelul infrastructurii tehnice utilizate in cadrul campaniei Luuuk, nu pentru ca aceasta ar fi fost sistata.

„La scurt timp dupa ce am detectat serverul de comanda si control, am contactat serviciul de securitate al bancii si autoritatile guvernamentale si le-am oferit toate dovezile pe care le-am descoperit,” a declarat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab.

Instrumentele utilizate in cadrul campaniei Luuuk

In cazul LUUUK, expertii au motive sa creada ca datele financiare importante au fost interceptate automat si ca tranzactiile frauduloase au avut loc atunci cand victimele si-au accesat online conturile bancare.

„Nu am descoperit si informatii legate de programul malware specific utilizat in aceasta campanie pe serverul de comanda si control,” a explicat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab. „Totusi, exista o serie de versiuni Zeus (Citadel, SpyEye, IceIX, etc.) care ar fi putut fi utilizate. Credem ca malware-ul folosit in aceasta campanie ar putea fi o versiune de Zeus care a utilizat injectari web sofisticate asupra victimelor,” a adaugat Vicente Diaz.

Schema decapitalizarii conturilor bancare

Banii sustrasi au trecut in conturile bancare ale infractorilor intr-o maniera interesanta si neobisnuita. Expertii Kaspersky Lab au observat o caracteristica distinctiva in organizarea tranzactiilor (sau a intermedierilor). Participantii la escrocherie primeau o parte din banii furati in conturi bancare special create si ii extrageau prin intermediul ATM-urilor. S-au descoperit dovezi care atesta existenta mai multor grupuri de infractori, fiecare avand alocate sume diferite de bani. Un grup a transferat sume de 40-50.000 de euro, altul 15-20.000 de euro si al treilea nu mai mult de 2.000 de euro.

„Aceste sume diferite de bani pentru fiecare grup pot fi un indicator al nivelului de incredere dintre membrii grupului,” a declarat Vicente Diaz. „Stim ca participantii la acest tip de frauda isi pacalesc partenerii si fug cu banii pe care acestia din urma ar fi trebuit sa ii primeasca. Sefii operatiunii Luuuk ar putea incerca sa evite aceste pierderi organizand diferite grupuri cu diferite grade de incredere: grupul este de incredere daca i se aloca o suma mare de bani spre a fi tranzactionata,” a completat Vicente Diaz.

Serverul de comanda si control utilizat in campania de fraudare bancara Luuuk a fost inchis la scurt timp dupa ce a inceput investigatia. Totusi, complexitatea operatiunii MITB (Money in the bank) sugereaza ca atacatorii vor continua sa caute noi victime. Expertii Kaspersky Lab continua investigatiile cu privire la activitatile operatiunii Luuuk.

Solutii de securitate pentru Luuuk

Dovezile descoperite de expertii Kaspersky Lab indica faptul ca organizatorii campaniei sunt cel mai probabil infractori cu experienta. Totusi, instrumentele utilizate de acestia pentru a fura bani pot fi contracarate eficient cu ajutorul tehnologiilor de securitate. De exemplu, Kaspersky Lab a dezvoltat Kaspersky Fraud Prevention – o platforma cu multiple niveluri de securitate pentru a ajuta organizatiile financiare sa-si protejeze clientii de fraudele financiare online. Platforma incorporeaza instrumente care protejeaza dispozitivele utilizate de clienti de o serie de atacuri, inclusiv atacurile de tip Man-in-the-Browser. De asemenea, Kaspersky Fraud Prevention dispune de functii speciale care ajuta companiile sa detecteze si sa blocheze tranzactiile frauduloase.

Mai multe informatii despre campania Luuuk puteti citi pe Securelist.com.

Pentru a afla mai multe informatii despre solutiile de securitate pentru organizatiile financiare, accesati pagina Kaspersky Fraud Prevention.

30 iunie 2014 – Kaspersky Lab Romania

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.