Kaspersky Lab ayudó en la mayor detención de cibercriminales en Rusia. Los detenidos son sospechosos de haber robado más de US$45 millones de instituciones financieras y empresas desde el 2011

Los expertos de Kaspersky Lab y Sberbank, uno de los bancos más grandes de Rusia, trabajaron estrechamente con las agencias rusas de orden público en la investigación de las actividades de la banda Lurk, lo que ha permitido el arresto de 50 personas. Los detenidos son sospechosos de estar implicados en la creación de redes de computadoras infectadas, cuyo resultado fue el robo de más de 45 millones de dólares (3.000 millones de rublos) de bancos, de otras instituciones financieras y de empresas desde el año 2011. Esta es la detención más grande de piratas informáticos que haya tenido lugar en Rusia.

En 2011, Kaspersky Lab detectó la actividad de una banda criminal cibernética que utilizaba el troyano Lurk, un malware avanzado, universal y multimodular de amplia funcionalidad, a fin de lograr acceso a las computadoras de las víctimas. En particular, la banda estaba buscando la forma de penetrar los servicios bancarios a distancia para robar el dinero de las cuentas de clientes.

«Desde el principio, los expertos de Kaspersky Lab participaron en la investigación de Lurk realizada por las autoridades. Nos dimos cuenta enseguida de que Lurk era un grupo de piratas informáticos rusos que presentaban una seria amenaza tanto para las organizaciones como para los usuarios. Lurk comenzó a atacar a los bancos hace un año y medio, pero antes de esa fecha su programa malicioso estaba dirigido a diversos sistemas empresariales y de consumidores.

«Los expertos de nuestra compañía analizaron el software malicioso e identificaron a la red de computadoras y servidores de los piratas informáticos. Armada con ese conocimiento, la policía rusa pudo identificar a los sospechosos y reunir pruebas de los crímenes que habían cometido. Esperamos ayudar a llevar más cibercriminales ante la justicia», dijo Ruslan Stoyanov, jefe de investigación de incidentes informáticos en Kaspersky Lab.

Durante la detención, la policía rusa logró impedir la transmisión de transacciones de dinero falso por valor de más de 30 millones de dólares (2.273 millones de rublos).

El troyano Lurk

Con la finalidad de propagar el malware, el grupo Lurk introdujo exploits en una serie de sitios web legítimos, entre ellos los sitios de los principales medios de comunicación y de noticias. Para quedar infectada con el troyano Lurk, bastaba con que la víctima visitara una página web comprometida. Una vez dentro de la PC de la víctima, el malware empezaría a bajar módulos maliciosos adicionales que le permitirían robar el dinero de la víctima.

Los sitios web de medios de comunicación no eran el único objetivo no financiero del grupo. Con el fin de ocultar sus huellas tras la conexión VPN, los delincuentes también atacaron diversas empresas de TI y telecomunicaciones, utilizando sus servidores para permanecer en el anonimato.

El troyano Lurk se distingue porque su código malicioso no se almacena en la computadora de la víctima, sino en la memoria de acceso aleatorio (RAM). Además, sus programadores trataron de hacer que este troyano fuera lo más difícil de detectar por las soluciones antivirus. Para ello hicieron uso de diferentes servicios de VPN, de la red anónima Tor, de puntos de conexión Wi-Fi comprometidos y de servidores pertenecientes a las organizaciones de TI atacadas.

Instamos a las empresas a prestar mucha atención a sus medidas de seguridad y llevar a cabo periódicamente una comprobación de seguridad de la infraestructura de TI, para que al menos estén protegidas contra las vulnerabilidades conocidas. También es muy importante enseñar a los empleados los fundamentos de un comportamiento cibernético responsable.

Asimismo, una empresa necesita introducir medidas que le permitan detectar cuando están siendo atacadas. La mejor estrategia en este caso es complementar el método de prevención de amenazas con una inversión importante en la detección de esas amenazas y en la forma de responder a ellas. Incluso los ataques dirigidos más avanzados se pueden detectar por su actividad anormal en relación al flujo de trabajo habitual de una empresa.

Kaspersky Lab detecta el troyano Lurk como Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk.