Sajber kriminalci za samo nedelju dana ukrali pola miliona evra sa bankovnih računa

Vesti, 26.06.2014, 10:18 AM

Računi više od 190 klijenata jedne velike evropske banke ispražnjeni su u ciljanim man-in-the-browser (MITB) napadima, a prema dokazima do kojih je došao Kaspersky Lab, za samo samo nedelju dana, sajber kriminalci su uspeli da ukradu više od pola miliona evra sa računa klijenata te neimenovane banke.

Prvi znaci da se nešto događa otkriveni su 20. janura ove godine kada je Kaspersky Lab otkrio C&C server za komandu i kontrolu čiji je kontrolni panel ukazivao da se trojanski program koristi za krađu novca sa bankarskih računa.

Stručnjaci su još tada pronašli dokaze o transakcijama, u logovima na serveru, koji su saržali informacije o sumama novca koje su preuzimane sa računa.

Do sada je identifikovano više od 190 žrtava pljačke, od kojih se većina nalazi u Italiji i Turskoj. Sume novca koje su ukradene sa bankarskih računa kreću se u rasponu od 1700 do 39000 evra.

Pljačka je već bila u toku najmanje nedelju dana pre nego što je je otrkiven C&C server, a kao najkasniji termin kada je započela ova kriminalna operacija stručnjaci navode 13. januar. Do trenutka kada je otkriven C&C server kriminalci su već uspeli da ukradu više od pola miliona evra.

Dva dana posle otkrića servera, 22. januara, kriminalci su uklonili sve informacije koje su mogle poslužiti kao tragovi koji bi istražitelje doveli do njih. Međutim, stručnjaci veruju da kriminalci nisu imali na umu uklanjanje dokaza, već da se radilo o promenama u tehničkoj infrastrukturi koja se koristila u kriminalnoj operaciji.

Ipak, dva dana koja su stručnjaci imali na raspolaganju, do 22. januara, bila su dovoljna za analizu dostupnih logova i identifikaciju žrtava krađe, čija imena nisu objavljena.

“Ubrzo pošto smo otkrili ovaj C&C server, kontaktirali smo službu za bezbednost banke i nadležne institucije za sprovođenje zakona, i predočili smo im sve naše dokaze”, kaže Visente Diaz, glavni istraživač bezbednosti u kompaniji Kaspersky Lab.

Stručnjaci ne znaju koji je tačno malver korišćen u operaciji Luuuk, kako su u Kaspersky Labu nazvali ovaj pljačkaški pohod na bankovne račune. Oni smatraju da su važni finansijki podaci presretani automatski i da su sporne transkacije obavljane odmah pošto bi se žrtve prijavile na svoje online bankovne naloge.

“Na C&C serveru koji smo otkrili nije bili informacija o tome koji je maliciozni program korišćen u ovoj operaciji. Doduše, mnoge postojeće varijante malvera Zeus (Citadel, SpyEye, IceIX, itd.) - imaju tu neophodnu sposobnost”, kažu u Kaspersky Labu.

Ukradeni novac je prebacivan na račune kriminalaca na neobičan način. Novac je, što nije neuobičajeno u ovakvim slučajevima, prosleđivan na račune saradnika, takozvanih money mule. Ono što je zanimljivo je organizacija pomagača kriminalaca čiji je zadatak da novac uplaćen na za tu svrhu posebno otvorene račune podignu sa bankomata.

Pomagači su bili raspoređeni u tri grupe, od kojih su jednoj bile poveravane sume veće od 50000 evra, drugoj sume do 15-20000 evra a trećoj sume ne veće od 2000 evra.

Ove razlike u količini novca koji je poveravan različitim saradnicima ukazuje na to da organizatori pljačke nisu imali isti nivo poverenja u sve svoje pomagače. Često se dešava da u ovakvim kriminalnim operacijama, partneri u zločinu varaju jedni druge i da money mule nestane sa novcem koji je trabalo da prosledi dalje. Vođe ove operacije su verovatno želele da se zaštite od ovakvih gubitaka raspoređujući ukradeni novac na račune saradnika u zavisnosti od toga koliko u koga imaju poverenja.

C&C server koji je povezan sa operacijom Luuuk je ugašen brzo pošto je započela istraga koja je i dalje u toku.