Začiatkom leta pomáhala spoločnosť Kaspersky Lab pri zatýkaní členov zločineckej skupiny Lurk, podozrivej z krádeže peňazí v objeme vyše 45 miliónov dolárov z účtov niekoľkých súkromných spoločností a bánk v Rusku.
Išlo o najväčšiu kyberzločineckú skupinu zameranú na finančnú kriminalitu, ktorá bola zatknutá za posledné roky. Analýzou IT infraštruktúry malvéru využívaného skupinou Lurk sa podarilo zistiť, že svoj kľúčový nástroj tzv. exploit kit ponúkala na prenájom ďalším kyberzločincom. Nástroj, známy aj ako Angler, obsahuje súbor škodlivých programov schopných využívať zraniteľnosti najrozšírenejších softvérov a nenápadne inštalovať v počítači ďalší malvér.
Angler patril v posledných rokoch medzi najúčinnejšie nástroje, ktoré boli dostupné hackerom na čiernom trhu. Aktívny je od roku 2013, kedy začal byť ponúkaný aj na prenájom. Odvtedy ho využili mnohé kyberzločinecké skupiny na šírenie rôznych typov malvéru – od advéru cez bankový malvér až po ransomvér. Stál v pozadí známych hrozieb, vrátane CryptXXX (jeden z najaktívnejších a najnebezpečnejších ransomvérov v súčasnom online prostredí), ale aj TeslaCrypt, či mnohých iných. Angler bol tiež využitý aj na šírenie bankového trojana Neverquest, ktorý má na svedomí útoky na takmer stovku rôznych bankových inštitúcií. Našťastie, aktivity Angleru boli prerušené okamžite po zatknutí skupiny Lurk.
Ako ukázal výskum realizovaný bezpečnostnými expertmi spoločnosti Kaspersky Lab, exploit kit Angler bol vytvorený za jediným účelom, a to poskytnúť skupine Lurk spoľahlivý a účinný kanál na distribúciu ich bankového malvéru do cieľových počítačov. Lurk predstavoval uzavretú skupinu, ktorej snahou bolo prevziať kontrolu nad kľúčovou infraštruktúrou namiesto klasického outsourcingu niektorých častí, ako je to bežné u väčšiny podobných kyberzločineckých skupín. V roku 2013 sa však situácia zmenila, gang sprístupnil svoj nástroj všetkým, ktorí boli ochotní platiť.
„Domnievame sa, že rozhodnutie skupiny Lurk otvoriť prístup k Angleru bolo vyvolané potrebou platiť účty. V čase, keď začali ponúkať Angler na prenájom, došlo k poklesu ziskov z ich hlavnej „podnikateľskej“ činnosti – kybernetických krádeží, čo bolo spôsobené najmä zavedením bezpečnostných opatrení bankových systémových vývojárov. V tom čase už ale mala skupina Lurk vybudovanú obrovskú sieť s množstvom „zamestnancov“, každá ich aktivita bola pritom spoplatnená. Preto sa rozhodli rozšíriť svoju činnosť aj do ostatných krajín, čo sa im do určitej miery aj podarilo. Zatiaľ čo Lurk predstavoval hrozbu len pre ruské organizácie, Angler bol použitý pri útokoch na používateľov z celého sveta,“ vysvetľuje Ruslan Stoyanov, vedúci oddelenia vyšetrovania počítačových incidentov v spoločnosti Kaspersky Lab.
Vývoj a podpora nástroja Angler nepatrí medzi jediné dodatočné aktivity skupiny Lurk. Za vyše päť rokov prešla skupina zaujímavým vývojom – od tvorby veľmi účinných malvérov zameraných na automatické krádeže peňazí pomocou softvéru pre vzdialený prístup k bankovým službám, až po sofistikované zločinecké schémy umožňujúce prienik do vnútornej infraštruktúry bánk.
Bezpečnostným expertom spoločnosti Kaspersky Lab sa podarilo zmonitorovať a zdokumentovať všetky aktivity skupiny Lurk realizované za posledných 5 rokov.