Estudio de caso: el exploit Angler del grupo Lurk
A principios del verano, Kaspersky Lab asistido en el arresto de sospechosos que formaban parte de la banda Lurk, que supuestamente robó más de 45 millones de dólares a varias empresas y bancos en Rusia. Fue el grupo de delitos informáticos financieros más grande capturado en los últimos años. Sin embargo, esta no fue la única actividad ciberdelincuente en la que ha estado involucrado el grupo Lurk. Según el análisis de la infraestructura de TI detrás del malware Lurk, sus operadores estaban desarrollando y alquilando su kit de explotación a otros ciberdelincuentes. Su kit de exploits Angler es un conjunto de programas maliciosos capaces de explotar vulnerabilidades en software generalizado e instalar silenciosamente malware adicional en PC.
Durante años, el kit de exploits Angler fue una de las herramientas más poderosas en el subsuelo disponibles para los piratas informáticos. La actividad de los pescadores se remonta a finales de 2013, cuando el kit estuvo disponible para alquilar. Varios grupos de ciberdelincuentes involucrados en la propagación de diferentes tipos de malware lo usaron: desde adware hasta malware bancario y ransomware. En particular, este kit de explotación fue utilizado activamente por el grupo detrás de El ransomware CryptXXX – una de las amenazas de ransomware más activas y peligrosas en línea, TeslaCrypt y otros. Angler también estaba acostumbrado a propagar el troyano bancario Neverquest, que fue creado para atacar cerca de 100 bancos diferentes. Las operaciones de Angler se interrumpieron inmediatamente después del arresto del grupo Lurk.
Como ha demostrado la investigación realizada por los expertos en seguridad de Kaspersky Lab, el kit de explotación Angler se creó originalmente con un solo propósito: proporcionar al grupo Lurk un canal de entrega confiable y eficiente, que permita sus operaciones bancarias malware para apuntar a los PC. Al ser un grupo muy cerrado, Lurk intentó acumular control sobre su infraestructura crucial en lugar de subcontratar algunas partes de ella como lo hacen otros grupos. Sin embargo, en 2013, las cosas cambiaron para la pandilla y abrieron el acceso al kit a todos los que estuvieran dispuestos a pagar.
“Sugerimos que la decisión de la banda Lurk de abrir el acceso a Angler fue provocada en parte por la necesidad de pagar las facturas. Cuando abrieron Angler en alquiler, la rentabilidad de su principal «negocio», las organizaciones de robo cibernético, estaba disminuyendo debido a un conjunto de medidas de seguridad implementadas por desarrolladores de software de sistemas bancarios remotos. Esto hizo que el proceso de robo fuera mucho más difícil para estos piratas informáticos. Sin embargo, en ese momento, Lurk tenía una enorme infraestructura de red y una gran cantidad de «personal», y había que pagar por todo. Por lo tanto, decidieron expandir su negocio y lo lograron hasta cierto punto. Si bien el troyano bancario Lurk solo representaba una amenaza para las organizaciones rusas, Angler se ha utilizado en ataques contra usuarios en todo el mundo ”, explicó Ruslan Stoyanov, jefe del departamento de investigaciones de incidentes informáticos.
El kit de exploits Angler, su desarrollo y soporte, no fue la única actividad secundaria del grupo Lurk. Durante más de un período de cinco años, el grupo pasó de crear un malware muy poderoso para el robo de dinero automatizado con el software de Servicios de Banca Remota, a esquemas de robo sofisticados que involucraban el fraude de intercambio de tarjetas SIM y especialistas en piratería familiarizados con la infraestructura interna de los bancos.
Todas las acciones del grupo Lurk durante este tiempo fueron monitoreadas y documentadas por expertos en seguridad de Kaspersky Lab.