Angler by Lurk: il famigerato gruppo di cyber criminali “dava in affitto” il suo tool più potente

hacker-turco

All'inizio di quest'estate, Kaspersky Lab aveva supportato l'arresto dei sospettati di appartenere al gruppo Lurk, accusato di aver sottratto oltre 45 milioni di dollari da numerose aziende e banche russe. Stiamo infatti parlando di un gruppo di cyber criminali specializzati in truffe finanziarie tra i più abili scoperti negli ultimi anni. Ad ogni modo le truffe finanziarie non erano l'unica attività che coinvolgeva il gruppo. Infatti, secondo un'analisi dell'infrastruttura IT dietro al malware Lurk, gli sviluppatori stanno progettando una sorta di "exploit kit" da noleggiare ad altri criminali dietro compenso. Il "set" consisteva in una serie di software nocivi in grado di sfruttare le vulnerabilità dei programmi più diffusi, installano ulteriori malware.

Per anni l’exploit kit Angler è stato uno dei tool più potenti (e più diffusi) nell’ambiente underground degli hacker. Lo strumento è stato resto disponibile online verso la fine del 2013. Lo strumento è stato utilizzato da numerosi gruppi criminali coinvolti nella diffusione di diversi tipi di malware: dagli adware ai malware bancari, fino ai ransomware.  Angler è stato inoltre utilizzato per diffondere il trojan bancario Neverquest, ideato per attaccare quasi 100 banche differenti. L’attività di Angler è stata interrotta subito dopo lo smantellamento del gruppo Lurk.

Come dimostrato dall’analisi condotta da Kaspersky Lab, Angler aveva un solo scopo: fornire a Lurk un canale di diffusione efficace e affidabile, così da poter infettare il maggior numero di PC. Trattandosi di un gruppo chiuso, Lurk ha preferito mantenere il controllo dell’infrastruttura di base, evitando di concederne alcune parti in outsourcing. Le cose sono però cambiate nel 2013 quando, probabilmente per ragioni economiche, il gruppo ha deciso di concedere l’accesso al kit a chiunque avesse potuto permetterselo.

“Crediamo che la decisione del gruppo Lurk di concedere l’accesso ad Angler sia in parte dovuta alla necessità di pagare le fatture. Dal momento in cui Angler ha iniziato a essere dato in concessione, la profittabilità del business principale del gruppo – le rapine informatiche alle aziende – ha iniziato a calare a causa di una serie di misure di sicurezza implementate dagli sviluppatori software dei sistemi bancari remoti, che rendevano il furto molto più difficile per gli hacker. Tuttavia, all’epoca Lurk aveva un’imponente infrastruttura di rete e moltissimi membri dello “staff”…e tutto doveva essere pagato. Hanno quindi deciso di espandere il proprio business e per certi versi ci sono riusciti. Mentre il trojan bancario Lurk rappresentava una minaccia solo per le organizzazioni russe, Angler è stato utilizzato per attacchi agli utenti di tutto il mondo”, ha dichiarato Ruslan Stoyanov, Head of Computer incident investigations department di Kaspersky Lab.

In ogni caso lo sviluppo e supporto di Angler non era di certo l’unica attività del gruppo Lurk. In oltre 5 anni i cyber criminali sono infatti passati dalla creazione di potenti malware al furto automatizzato di denaro con software Remote Banking Service, passando per schemi sofisticati di furto tramite lo scambio di SIM. Tutte le attività del gruppo Lurk sono state monitorate e documentate dagli esperti di sicurezza di Kaspersky Lab.

Tags :Sources :Comunicato stampa Kaspersky Lab