Primele semne ale campaniei LUUK au fost descoperite pe 20 ianuarie, anul acesta, in momentul in care expertii Kaspersky Lab au descoperit un server de comanda si control pe internet. Panoul de control al serverului a indicat faptul ca infractorii foloseau un troian pentru a fura bani din conturile bancare ale clientilor.

De asemenea, expertii au detectat pe acelasi server si jurnale pentru tranzactii, cu informatii despre sumele de bani care au fost extrase din fiecare cont. In total au fost identificate peste 190 de victime, majoritatea din Italia si din Turcia. Informatiile descoperite in registre arata ca sumele extrase din fiecare cont bancar au variat de la 1.700 la 39.000 de euro.

In momentul in care a fost descoperit serverul de comanda si control, campania care incepuse pe 13 ianuarie 2014 era in desfasurare de cel putin o saptamana. In acest interval, infractorii cibernetici au sustras peste 500.000 de euro din conturile bancare. La doua zile dupa ce expertii GReAT au descoperit serverul de comanda si control, atacatorii au eliminat orice urma de dovada care ar fi putut fi utilizata pentru a-i identifica. Totusi, specialistii Kaspersky Lab cred ca acest lucru s-a intamplat din cauza schimbarilor facute la nivelul infrastructurii tehnice utilizate in cadrul campaniei Luuuk, nu pentru ca aceasta ar fi fost sistata.

La scurt timp dupa ce am detectat serverul de comanda si control, am contactat serviciul de securitate al bancii si autoritatile guvernamentale si le-am oferit toate dovezile pe care le-am descoperit,” a declarat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab.

Instrumentele utilizate in cadrul campaniei Luuuk

In cazul LUUUK, expertii au motive sa creada ca datele financiare importante au fost interceptate automat si ca tranzactiile frauduloase au avut loc atunci cand victimele si-au accesat online conturile bancare.

Nu am descoperit si informatii legate de programul malware specific utilizat in aceasta campanie pe serverul de comanda si control,” a explicat Vicente Diaz, Principal Security Researcher in cadrul Kaspersky Lab. „Totusi, exista o serie de versiuni Zeus (Citadel, SpyEye, IceIX, etc.) care ar fi putut fi utilizate. Credem ca malware-ul folosit in aceasta campanie ar putea fi o versiune de Zeus care a utilizat injectari web sofisticate asupra victimelor,” a adaugat Vicente Diaz.

Schema decapitalizarii conturilor bancare

Banii sustrasi au trecut in conturile bancare ale infractorilor intr-o maniera interesanta si neobisnuita. Expertii Kaspersky Lab au observat o caracteristica distinctiva in organizarea tranzactiilor (sau a intermedierilor). Participantii la escrocherie primeau o parte din banii furati in conturi bancare special create si ii extrageau prin intermediul ATM-urilor. S-au descoperit dovezi care atesta existenta mai multor grupuri de infractori, fiecare avand alocate sume diferite de bani. Un grup a transferat sume de 40-50.000 de euro, altul 15-20.000 de euro si al treilea nu mai mult de 2.000 de euro.

Aceste sume diferite de bani pentru fiecare grup pot fi un indicator al nivelului de incredere dintre membrii grupului,” a declarat Vicente Diaz. „Stim ca participantii la acest tip de frauda isi pacalesc partenerii si fug cu banii pe care acestia din urma ar fi trebuit sa ii primeasca. Sefii operatiunii Luuuk ar putea incerca sa evite aceste pierderi organizand diferite grupuri cu diferite grade de incredere: grupul este de incredere daca i se aloca o suma mare de bani spre a fi tranzactionata,” a completat Vicente Diaz.

Serverul de comanda si control utilizat in campania de fraudare bancara Luuuk a fost inchis la scurt timp dupa ce a inceput investigatia. Totusi, complexitatea operatiunii MITB (Money in the bank) sugereaza ca atacatorii vor continua sa caute noi victime.

Expertii Kaspersky Lab continua investigatiile cu privire la activitatile operatiunii Luuuk.