Medio millón de euros robados en una semana

El grupo GReAT de expertos de Kaspersky Lab descubrió evidencia de un ataque dirigido contra los clientes de un importante banco europeo: la denominada campaña de fraude Luuuk. Según los registros encontrados en el servidor utilizado por los atacantes, los ciberdelincuentes robaron más de medio millón de euros de cuentas de ese banco aparentemente en una semana.

Los primeros signos de esta campaña se descubrieron el 20 de enero de 2014, cuando los expertos de Kaspersky Lab detectaron un servidor de C&C (de Comando y Control) en la red. El panel de control del servidor indicaba evidencia de un programa Troyano que se utilizaba para robar dinero de las cuentas bancarias de los clientes.

Los expertos también detectaron registros de transacciones en el servidor, que contenían información acerca de las sumas de dinero que se habían tomado de las cuentas. En total, su pudieron identificar más de 190 víctimas, la mayoría de ellas ubicadas en Italia y Turquía. Las cantidades robadas de cada cuenta bancaria, de acuerdo con los registros, oscilaron entre 1,700 y 39,000 euros.

La campaña tenía operando por lo menos una semana cuando se descubrió  el servidor de C&C, tras haber comenzado a más tardar el 13 de enero de 2014. En ese periodo los ciberdelincuentes robaron con éxito más de 500,000 euros.

Dos días después de que el equipo GReAT descubrió el servidor de C&C, los delincuentes eliminaron cada pizca de evidencia que pudiera ser utilizada para rastrearlos. Sin embargo, los expertos piensan que esto está probablemente vinculado a cambios en la infraestructura técnica utilizada en la campaña maliciosa y no con el supuesto fin de la campaña Luuuk.

En el caso LUUUK, los expertos tienen razones para creer que se interceptaron automáticamente datos financieros importantes y se llevaron al cabo transacciones fraudulentas tan pronto como las víctimas iniciaban sus sesiones en sus cuentas bancarias en línea.

El dinero robado pasaba a las cuentas de los ladrones de una manera interesante e inusual. Nuestros expertos notaron una peculiaridad distintiva en la organización de los llamados “drops” (o mulas de dinero), en el que los participantes de la estafa recibían algo del dinero robado en cuentas bancarias especialmente creadas para esto y cobraban en efectivo a través de cajeros automáticos. Hubo evidencias de diferentes grupos ‘drop’, cada uno asignado con diferentes cantidades de dinero. Un grupo fue responsable de transferir sumas de 40-50,000 euros, otro de 15-20,000 y el tercero de no más de 2,000 euros.

El servidor de C&C relacionado con Luuuk se apagó poco después de haber iniciado la investigación. Sin embargo, el nivel de complejidad de la operación “hombre en el navegador” (MITB) sugiere que los atacantes continuarán buscando nuevas víctimas de esta campaña. Los expertos de Kaspersky Lab están involucrados en la investigación en curso en las actividades de Luuuk.

La evidencia descubierta por los expertos de Kaspersky Lab indica que la campaña fue organizada muy probablemente por delincuentes profesionales. Sin embargo, las herramientas maliciosas que utilizaron para robar dinero pueden ser contrarrestadas eficazmente con tecnologías de seguridad.

Por ejemplo, Kaspersky Lab ha desarrollado Kaspersky Fraud Prevention – una plataforma multinivel para ayudar a las organizaciones financieras a proteger a sus clientes contra fraudes financieros en línea. La plataforma incluye componentes que salvaguardan los dispositivos de los clientes de muchos tipos de ataques, incluyendo ataques MITB, así como herramientas que pueden ayudar a las empresas a detectar y bloquear transacciones fraudulentas.

Para obtener más información sobre la campaña Luuuk, visitar Securelist.com.