1 июня 2016

«Лаборатория Касперского» помогла поймать создателей Lurk — троянца, укравшего несколько миллиардов рублей

Безопасность Новости Угрозы

Сегодня банковский бизнес в России стал немного безопаснее: 1 июня 2016 года ФСБ и МВД России задержали создателей банковского троянца Lurk. Расследование проводилось при экспертной поддержке «Лаборатории Касперского» и участии Сбербанка.

В группу входило более 50 киберпреступников из 15 регионов России. С 2011 года хакеры воруют деньги со счетов пользователей в России и других странах СНГ. В новостях пишут о краже 1,7 млрд рублей, но эта оценка касается лишь результатов последней вредоносной кампании. За последние пять лет преступники вывели со счетов российских финансовых учреждений более 3 млрд рублей.

Среди российских хакеров бытует мнение, что воровать в своей стране опаснее, чем за границей: таких преступников будут охотнее искать и в результате наверняка поймают, тогда как жители других стран вряд ли обратятся за помощью в полицию РФ. Кроме того, в РФ мобильные и интернет-банки менее распространены, чем в Европе или США. Но создатели Lurk все-таки решили поискать счастья, за что в итоге и поплатились.

Троянец Lurk пять лет терроризировал банки России и стран бывшего СНГ. Разработчики приложили массу усилий, чтобы свести вероятность обнаружения троянца к минимуму. Чтобы скрыть свое детище от антивирусного ПО, преступники придумали хитрый трюк: код троянца не сохранялся на жестком диске зараженного компьютера, а функционировал исключительно в оперативной памяти устройства.

Команда «черных» маркетологов тщательно планировала стратегию распространения зловреда для того, чтобы украсть как можно больше денег, прежде чем специалисты по безопасности получат образцы троянца и в конечном итоге обезвредят его. Для распространения зловреда использовались различные VPN-сервисы, анонимная сеть Tor, скомпрометированные или беспроводные точки доступа сторонних пользователей и даже серверы атакованных IT-организаций. С их помощью преступники взламывали сайты, обманом заставляли пользователей скачивать эксплойты или проникали в слабозащищенные компьютеры внутри корпоративной сети банка.

Особый интерес для злоумышленников представляли тематические сайты, интересные их потенциальным жертвам, такие как бухгалтерские форумы или новостные порталы. Если взломать такой сайт не получалось, ссылку на зловреда временно размещали в материалах партнеров, которые рекламировались на этом ресурсе. К примеру, на форуме одного известного журнала для бухгалтеров вредоносная ссылка появлялась в рабочие дни ровно на два часа в обеденное время. Даже обнаружив проблему, владелец ничего не успевал сделать — ссылка исчезала раньше.

«Лаборатория Касперского» следит за эволюцией Lurk с июля 2011 года. В ходе расследования наши специалисты тщательно проанализировали троянца и методы, которые использовали преступники для его «продвижения». В результате была выявлена сетевая инфраструктура группы атакующих, установлены личности подозреваемых и собраны доказательства их причастности к киберпреступлениям.

Хотя создатели Lurk арестованы, другие киберпреступники не дремлют. Некоторые банки делают все возможное, чтобы защитить своих клиентов, но совершенной защиты не бывает, поэтому хакеры регулярно находят новые способы обхода даже самых современных мер безопасности — как и Lurk в свое время.

Поэтому наша компания прилагает все усилия, чтобы не только защитить своих пользователей, но и помочь в расследованиях правоохранительным органам. Иногда преступники прекращают свою деятельность сами, иногда им «помогает» полиция — и с каждым таким событием Интернет становится чуточку безопаснее.