Angler by Lurk: il famigerato gruppo criminale “dava in affitto” il suo tool più potente
All’inizio dell’estate, Kaspersky Lab ha supportato l’arresto dei sospettati di appartenere al gruppo Lurk, accusato di aver rubato oltre 45 milioni di dollari da numerose aziende e banche in Russia. Si tratta del gruppo cyber criminale specializzato nelle truffe finanziarie più ampio tra quelli scoperti negli ultimi anni. Tuttavia, questa non era l’unica attività criminale in cui era coinvolto il gruppo Lurk. Secondo un’analisi dell’infrastruttura IT dietro al malware Lurk, i suoi sviluppatori stavano progettando un exploit kit di cui concedevano l’utilizzo ad altri criminali dietro compenso. L’exploit kit Angler, di proprietà del gruppo, è un set di programmi nocivi in grado di sfruttare le vulnerabilità di software diffusi e installare di nascosto ulteriori malware sui PC.
Per anni l’exploit kit Angler è stato uno dei tool più potenti disponibile nell’underground degli hacker. L’attività di Angler risale alla fine del 2013, quando è diventato possibile affittare il kit. È stato utilizzato da numerosi gruppi criminali coinvolti nella diffusione di diversi tipi di malware: dagli adware ai malware bancari, fino ai ransomware. In particolare, questo exploit kit è stato attivamente utilizzato dal gruppo che si cela dietro al ransomware CryptXXX – una delle minacce ransomware più attive e pericolose – TeslaCrypt e altri ancora. Angler è stato inoltre usato per diffondere il trojan bancario Neverquest, progettato per attaccare quasi 100 banche differenti. L’attività di Angler è stata interrotta subito dopo l’arresto del gruppo Lurk.
Come dimostrato dall’analisi condotta dagli esperti di sicurezza di Kaspersky Lab, l’exploit kit Angler è stato originariamente creato per un solo scopo: offrire al gruppo Lurk un canale di diffusione efficace e affidabile, per permettere al suo malware di infettare i PC. Essendo un gruppo molto chiuso, Lurk ha provato a mantenere il controllo sulla propria infrastruttura essenziale invece che darne in outsourcing alcune parti come fanno altri gruppi. Tuttavia, nel 2013 le cose sono cambiate per il gruppo, che ha aperto l’accesso al kit a chiunque fosse pronto a pagare.
“Crediamo che la decisione del gruppo Lurk di concedere l’accesso ad Angler sia in parte dovuta alla necessità di pagare le fatture. Dal momento in cui Angler ha iniziato a essere dato in concessione, la profittabilità del business principale del gruppo – le rapine informatiche alle aziende – ha iniziato a calare a causa di una serie di misure di sicurezza implementate dagli sviluppatori software dei sistemi bancari remoti, che rendevano il furto molto più difficile per gli hacker. Tuttavia, all’epoca Lurk aveva un’imponente infrastruttura di rete e moltissimi membri dello “staff”…e tutto doveva essere pagato.
Hanno quindi deciso di espandere il proprio business e per certi versi ci sono riusciti. Mentre il trojan bancario Lurk rappresentava una minaccia solo per le organizzazioni russe, Angler è stato utilizzato per attacchi agli utenti di tutto il mondo”, ha spiegato Ruslan Stoyanov, Head of Computer incident investigations department di Kaspersky Lab.
L’exploit kit Angler – il suo sviluppo e supporto – non era l’unica attività parallela del gruppo Lurk. In un lasso temporale di oltre cinque anni, il gruppo è passato dalla creazione di malware molto potenti per il furto automatizzato di denaro con software Remote Banking Service a schemi sofisticati di furto che coinvolgono lo scambio di SIM e hacker specializzati con conoscenze delle infrastrutture interne delle banche.
Tutte le attività del gruppo Lurk in questo periodo sono state monitorate e documentate dagli esperti di sicurezza di Kaspersky Lab.
Sono disponibili ulteriori informazioni su come Kaspersky Lab abbia studiato l’attività del gruppo Lurk per cinque anni nell’articolo di Ruslan Stoyanov su Securlist.it