Conforme a los registros hallados en el servidor utilizado por los cibercriminales, parece ser que en solo una semana han robado más de medio millón de euros procedente de las cuentas de dicho banco. Los primeros signos de esta campaña fueron descubiertos el pasado 20 de enero, cuando los expertos de Kaspersky Lab detectaron un servidor C&C en la red. El panel de control de este servidor indicaba que se había usado un troyano para robar el dinero de las cuentas.

Los expertos también detectaron registros en ese servidor que contenían información sobre qué sumas de dinero habían sido sustraídas de cada cuenta. En total, se pudieron identificar más de 190 víctimas, la mayoría de ellas ubicadas en Italia y Turquía. La cantidad robada de cada cuenta oscilaba entre los 1.700 y los 39.000 euros.

La campaña contaba con al menos una semana de antigüedad cuando el C&C fue descubierto, por lo que se habría iniciado el 13 de enero de 2014 como muy tarde. En ese periodo, los cibercriminales ya habían robado más de 500.000 euros. Dos días antes del descubrimiento del servidor C&C, los delincuentes habían eliminado cualquier prueba que pudiera servir para rastrearlos. Sin embargo, los analistas creen que esto está vinculado posiblemente a cambios en la infraestructura técnica utilizada en la campaña maliciosa, pero no supuso el fin de la campaña Luuuk.

"En cuanto detectamos este servidor C&C, contactamos con el servicio de seguridad del banco y las fuerzas de seguridad legales y les presentamos todas las pruebas", afirma Vicente Díaz, analista de malware senior de Kaspersky Lab.

Uso de herramientas maliciosas

En el caso Luuuk los expertos tienen motivos para creer que se interceptaron automáticamente importantes datos financieros y que las transacciones fraudulentas se llevaron a cabo tan pronto como las víctimas se identificaron en sus cuentas bancarias online. "En el servidor C&C detectamos que no había información sobre qué programa de malware específico se había usado en esta campaña. Sin embargo, muchas variantes de Zeus (Citadel, SpyEye, ICEIX...) tienen esa capacidad. Creemos que en el malware usado en esta campaña se ha utilizado algún “ingrediente” de Zeus y una web sofisticada para inyectar malware", añade Vicente Díaz.

Planes de desinversión monetaria

El dinero robado se transfirió a las cuentas de los ladrones de una manera interesante e inusual. Los expertos de Kaspersky Lab notaron una peculiaridad en la organización de los llamados 'drops' (o mulas monetarias), donde los participantes en la estafa reciben una parte del dinero robado en cuentas bancarias especialmente creadas y dinero en efectivo a través de cajeros automáticos. Existen pruebas de varios grupos de 'drops', cada uno con una asignación de dinero distinta. Un grupo tenía asignadas sumas de entre 40.000 y 50.000 euros, otro entre 15.000 y 20.000 y el tercero de no más de 2.000 euros.

"Estas diferencias en la cantidad de dinero obtenido puede indicar una variación en los niveles de confianza en cada tipo de “drop”. Sabemos que algunos miembros de estas organizaciones a menudo engañan a sus “colaboradores” y se fugan con el dinero que, supuestamente, tenían en efectivo. Los jefes de Luuuk podrían, de esta manera, tratar de protegerse contra estas pérdidas, estableciendo diferentes grupos con diferentes niveles de confianza: cuanto más dinero se le pide, más se confía en él", explica Vicente Díaz.

El servidor C&C implicado en Luuuk se cerró poco después de que la investigación comenzara. Sin embargo, el complejo nivel de la operación MITB cremos que es indicativo que los atacantes continuarán buscando nuevas víctimas para esta campaña.

Cómo protegerse contra Luuuk

Las pruebas descubiertas por Kaspersky Lab indican que esta campaña ha sido organizada probablemente por delincuentes profesionales. No obstante, las herramientas maliciosas usadas pueden detectarse y eliminarse con soluciones de seguridad TI. Por ejemplo, Kaspersky Lab ha desarrollado Kaspersky Fraud Prevention, una plataforma multinivel que ayuda a las organizaciones financieras a proteger a sus clientes contra fraudes online. Esta plataforma incluye componentes que salvaguardan los dispositivos de los clientes de varios tipos de ataques, incluyendo los de Man-in-the-browser, así como aquellas herramientas que pueden ayudar a las empresas a detectar y bloquear transacciones fraudulentas.