Si bien no se trata de uno de los ataques más importantes de la historia en cuanto a sus consecuencias, lo llamativo del fraude que se llevó a cabo con un Troyano denominado Luuuk, es que el mismo es muy poco sofisticado desde el punto de vista técnico, pero fue bien aprovechado por los atacantes en el poco tiempo que duró su acción dañina.
La investigación la realizó el equipo de Análisis e Investigación Global (GReAT) de Kaspersky Lab.
Según los registros encontrados en el servidor atacado, los ciberdelincuentes robaron más de medio millón de euros de cuentas de ese banco en el espacio de una semana. Los primeros signos de esta campaña se descubrieron el 20 de enero de este año, cuando los expertos de Kaspersky Lab detectaron un servidor de C&C (Comando y Control) en la red. El panel de control del servidor indicaba evidencia de un programa troyano que se utilizaba para robar dinero de las cuentas bancarias de los clientes.
Los expertos también detectaron registros de transacciones en el servidor, que contenían información acerca de las sumas de dinero que se habían tomado de las cuentas. En total, su pudieron identificar más de 190 víctimas, la mayoría de ellas ubicadas en Italia y Turquía. Las cantidades robadas de cada cuenta bancaria, de acuerdo con los registros, oscilaron entre 1.700 y 39.000 euros.
La campaña tenía operando por lo menos una semana cuando se descubrió el servidor de C&C y podría haber comenzado a funcionar el pasado 13 de enero 2014. En ese periodo los ciberdelincuentes robaron con éxito más de 500 mil euros. Dos días después de que el equipo GReAT descubrió el servidor de C&C, los delincuentes eliminaron la evidencia que podía ser utilizada para rastrearlos. Sin embargo, los expertos piensan que esto está probablemente vinculado a cambios en la infraestructura técnica utilizada en el ataque y no con el supuesto fin de la campaña Luuuk.
Los expertos del equipo de Kaspersky tienen razones para creer que Luuuk interceptó automáticamente los datos financieros importantes de las víctimas y llevó al cabo transacciones fraudulentas en cuanto las personas iniciaban las sesiones en sus cuentas bancarias en línea.
El dinero robado pasaba a las cuentas de los ladrones por medio de una estructura de organización que involucraba el empleo de “drops” (o mulas de dinero), en el que los participantes de la estafa recibían algo del dinero robado en cuentas bancarias especialmente creadas para esto y lo retiraban en efectivo a través de cajeros automáticos. Se registraron evidencias de diferentes grupos de drops, cada uno asignado con diferentes cantidades de dinero. Un grupo fue responsable de transferir sumas de 40 a 50 mil euros, otro de 15 a 20 mil y el tercero de no más de 2 mil euros.
El servidor de C&C relacionado con Luuuk se apagó poco después de haber iniciado la investigación.
La evidencia descubierta por los expertos de Kaspersky Lab indica que la campaña fue organizada muy probablemente por delincuentes profesionales. Sin embargo, las herramientas maliciosas que utilizaron para robar dinero pueden ser contrarrestadas eficazmente con tecnologías de seguridad. Por ejemplo, Kaspersky Lab ha desarrolló su Kaspersky Fraud Prevention, una plataforma multinivel para ayudar a las organizaciones financieras a proteger a sus clientes contra fraudes financieros en línea. Incluye componentes que salvaguardan los dispositivos de los clientes de muchos tipos de ataques, incluyendo ataques MITB, así como herramientas que pueden ayudar a las empresas a detectar y bloquear transacciones fraudulentas.
Compartir nota:
