Expertos de Kaspersky Lab y Sberbank, uno de los bancos más grandes de Rusia, han trabajado estrechamente con los cuerpos de seguridad rusos en una investigación sobre la banda cibercriminal Lurk que ha terminado con la detención de 50 personas sospechosas de estar implicadas en la creación de redes de ordenadores infectados que han robado más de 40 millones de euros de bancos, instituciones financieras y empresas desde el año 2011. Se trata de la mayor detención de cibercriminales de Rusia.
En 2011, los expertos de Kaspersky Lab detectaron la actividad de una banda de cibercriminales que utilizaba el troyano Lurk, un sofisticado malware multi-modular con muy variadas funcionalidades que permitía acceder a los dispositivos de las víctimas. En concreto, la banda tenía como objetivo buscar una vía de entrada a los servicios de banca remota con el fin de robar dinero de las cuentas de los usuarios.
“Los expertos de Kaspersky Lab analizaron el software malicioso e identificaron la red de ordenadores y servidores de los hackers. Con estos datos, las fuerzas de seguridad rusas pudieron identificar a los sospechosos y reunir pruebas sobre los crímenes que se habían cometido. Esperamos que esta acción contribuya a poder detener y juagar a más ciberdelinuentes” afirma Ruslan Stoyanov, jefe de investigación de incidentes informáticos en Kaspersky Lab.
Durante la detención, las autoridades evitaron que se realizaran transacciones por un valor de más de 26 millones de euros*.
El troyano Lurk
Con el fin de propagar el malware, Lurk infectó varias webs legítimas con exploits, incluyendo páginas de medios de comunicación y noticias. Una víctima sólo tenía que visitar una de las páginas web comprometidas para ser infectada por el troyano Lurk. Una vez dentro del PC de la víctima, el malware descargaba módulos maliciosos adicionales que permitían robar el dinero de las víctimas.
Las webs de medios de comunicación no fueron las únicas páginas no-financieras que atacó el grupo. Para ocultar sus huellas, también hackearon varias compañías de telecomunicaciones y de TI, utilizando sus servidores para permanecer ocultos.
El troyano Lurk tiene como particularidad que su código malicioso no se almacena en el dispositivo de la víctima, sino en la memoria RAM. Además, intentaron que su detección fuera lo más difícil posible, utilizando diferentes servicios de VPN, la red TOR, conexiones Wi-Fi ya comprometidas y servidores pertenecientes a las empresas de TI atacadas.
Recomendaciones
• Desde Kaspersky Lab se recomienda a las empresas extremar sus medidas de seguridad y comprobar de forma regular su infraestructura de seguridad TI.
• Asimismo, es extremadamente importante concienciar y formar a los empleados
• De igual modo, las empresas necesitan implementar medidas de seguridad que les permitan detectar ataques dirigidos (APTs). En este sentido, la mejor estrategia es no solo mantener un enfoque de prevención, sino también la detección y la respuesta. Incluso la APT más sofisticada puede localizarse por su comportamiento anormal cuando se compara con el flujo de trabajo regular.
—
Fotografía © Mike Flippo vía Shutterstock