CentrumPR.pl

Technologie » Internet

Angler: dlaczego grupa cyberprzestępcza Lurk wypożyczała swoje najskuteczniejsze narzędzie

Zobacz więcej zdjęć »

Na początku lata eksperci z Kaspersky Lab pomagali w dochodzeniu dotyczącym cyberprzestępczego gangu Lurk, które zakończyło się aresztowaniem 50 osób podejrzanych o kradzież ponad 45 mln dolarów z instytucji finansowych w Rosji.

Było wśród nich najpotężniejsze narzędzie grupy – zestaw Angler składający się ze szkodliwych programów potrafiących infekować komputery poprzez luki w zabezpieczeniach i ukradkowo pobierać niebezpieczne aplikacje.

Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:

Przeczytaj również

• Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
• Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
• Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
• Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików

• Podstawowe informacje o CentrumPR.pl

Przez lata zestaw Angler był jednym z najpotężniejszych narzędzi dostępnych w cyberprzestępczym podziemiu. Pod koniec 2013 r. został udostępniony do wynajęcia i zaczęło z niego korzystać wiele grup cyberprzestępczych zaangażowanych w rozprzestrzenianie rozmaitych szkodliwych programów – od aplikacji reklamowych adware po zagrożenia finansowe oraz narzędzia szyfrujące dane i żądające okupu – tzw. ransomware. Na przykład, zestaw Angler był wykorzystywany przez cyberprzestępców stojących za szkodnikami szyfrującymi CryptXXX oraz TeslaCrypt oraz trojanem bankowym Neverquest, który został zaprojektowany w celu atakowania klientów niemal 100 instytucji finansowych. Funkcjonowanie zestawu Angler zostało przerwane tuż po aresztowaniu cyberprzestępczej grupy Lurk.

Jak wykazały badania prowadzone przez Kaspersky Lab, zestaw Angler pełnił pierwotnie jedno zadanie – dawał grupie Lurk skuteczny i wydajny mechanizm dostarczania bankowych szkodliwych programów, które infekowały komputery użytkowników. Ugrupowanie Lurk funkcjonowało hermetycznie – samodzielnie tworzyło i utrzymywało wszystkie szkodliwe narzędzia i całą infrastrukturę, w przeciwieństwie do innych atakujących, którzy często korzystają z gotowych technologii lub podzlecają ich przygotowanie zewnętrznym programistom. Sytuacja ta zmieniła się jednak w 2013 r. gdy grupa otworzyła dostęp do zestawu Angler dla wszystkich, którzy chcieli zapłacić.

„Uważamy, że decyzja grupy Lurk była częściowo podyktowana koniecznością finansowania rozbudowanej infrastruktury cyberprzestępczej. W czasie, gdy udostępniono do wynajęcia zestaw Angler, główny ‘biznes’ ugrupowania – kradzież pieniędzy od zainfekowanych użytkowników – stawał się coraz mniej dochodowy w związku z wprowadzeniem przez banki nowych zabezpieczeń. W efekcie kradzież pieniędzy stała się znacznie trudniejsza. Jednocześnie, grupa Lurk dysponowała rozbudowaną infrastrukturą oraz licznym ‘personelem’, co generowało duże koszty. Cyberprzestępcy zdecydowali się zatem na rozszerzenie swojej działalności i w pewnym stopniu im się to powiodło. Podczas gdy trojan Lurk stanowił zagrożenie wyłącznie dla rosyjskich firm, po zmianie podejścia zestaw Angler zaczął być wykorzystywany do infekowania ofiar na całym świecie” – tłumaczy Rusłan Stojanow, szef działu odpowiedzialnego za dochodzenia w ramach incydentów komputerowych, Kaspersky Lab.

Rozwój i konserwacja pakietu Angler to nie jedna działalność poboczna grupy Lurk. W ciągu pięciu lat cyberprzestępcy przeszli od tworzenia potężnych szkodliwych programów pozwalających na zautomatyzowaną kradzież pieniędzy do zaawansowanych mechanizmów kradzieży wykorzystujących podmianę kart SIM oraz hakowanie specjalistów zaznajomionych z wewnętrzną infrastrukturą banków.

Wszystkie działania ugrupowania Luk w tym okresie były monitorowane i dokumentowane przez ekspertów z Kaspersky Lab. Szczegóły techniczne są dostępne na stronie https://kas.pr/5aaq.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/nowosci.

Nadesłał: Kaspersky Lab Polska Sp. z o.o. http://kaspersky.pl