Lurk: cazado y enterrado

Cómo ayudó Kaspersky Lab a la policía rusa a pillar a los ciberdelincuentes responsables del troyano bancario Lurk y el kit de exploit Angler.

Quizá el mayor problema que presentan los ciberdelincuentes es que es muy complicado atraparlos. Cuando se lleva a cabo un robo real en un banco, los ladrones llevan armas y máscaras, pero pueden dejar huellas, sus voces las graban las cámaras de seguridad, la policía puede seguir sus coches mediante las cámaras de trafico, etc. Todo ello ayuda a que los investigadores encuentren a los sospechosos, pero cuando los ciberdelincuentes llevan a cabo un robo, no dejan prácticamente ninguna pista.

lurk-featured

Pero, a veces, también los atrapan. ¿Te acuerdas del troyano bancario SpyEye? Cacharon a sus creadores en el 2011. ¿Te acuerdas del grupo Carberp, activo desde 2010 a 2012? También los cacharon. ¿Y qué hay del infame kit de exploit Angler que, de repente, desapareció del mapa en junio? El malware Lurk también cesó sus ataques por la misma época (porque cacharon a los causantes con la ayuda de las autoridades rusas y de Kaspersky Lab).

La historia empezó en el 2011, cuando nos topamos con Lurk por primera vez. Lo que nos llamó la atención fue el hecho de que un troyano que usaba un software bancario remoto para robar dinero fuera clasificado por nuestro sistema interno de asignación de malware como un troyano que se podía usar para muchas cosas, salvo robar dinero, por lo que decidimos investigarlo.

La investigación casi no dio resultados (el troyano no parecía hacer nada), pero los ataques continuaron y nuestros analistas pudieron conseguir más muestras que analizar.

Durante ese tiempo, aprendimos mucho sobre Lurk. Por ejemplo, tenía una estructura modular: cuando el troyano detectaba que había infectado un ordenador con el software bancario remoto instalado, descargaba una carga maliciosa responsable del robo de dinero. Por ello, nuestro sistema no calificó Lurk como un troyano bancario al principio (faltaba la carga).

También descubrimos que Lurk evitaba dejar huellas en el disco duro, por lo que solo trabajaba en la memoria RAM de las computadoras infectadas, hecho que lo hacía más difícil de atrapar. Los creadores de Lurk también utilizaban cifrados en todas partes, al igual que la ofuscación. Sus servidores de mando y control se hospedaban en dominios registrados con datos falsos y el software, tanto Lurk como su carga, cambiaba constantemente y se adaptaba específicamente para un banco u otro.

Los creadores de Lurk tenían cuidado y sabíamos que debía haber un equipo de profesionales tras un malware de esa complejidad. Pero los profesionales no dejan de ser personas y las personas cometemos errores. Esos errores fueron los que nos dieron información que pudimos usar para encontrar a los responsables del troyano.

Resultó que Lurk lo creó y desarrolló un grupo de unas 15 personas, aunque en el momento del arresto eran cuarenta miembros. Tenían dos proyectos: el malware en sí y la botnet utilizada para distribuirlo. Cada proyecto tenía su propio equipo.

Un grupo de programadores desarrolló Lurk y un grupo de testers comprobaba su funcionamiento en diferentes entornos. Por lo que respecta a la botnet, había administradores, operadores, un responsable del flujo de dinero, entre otros. Las mulas de dinero sacaban efectivo de los cajeros y el responsable de estos lo recogía.

lurk-structure

Muchos de los involucrados eran trabajadores con sueldo. Para contratarlos, los responsables de Lurk publicaron ofertas de empleo en páginas web de captación y prometían empleo pleno, remoto y con un salario atractivo. Durante la entrevista, el entrevistador preguntaba a los candidatos si tenían unos fuertes principios morales. Los que contestaron que no, obtuvieron el trabajo.

Desarrollar Lurk y mantener la botnet requería no solo a mucha gente, sino también una infraestructura de pago en la que se incluían servidores, VPNs y otras herramientas. Tras unos años en el negocio, el equipo de Lurk parecía una empresa mediana de informática. Y como en muchas compañías, decidieron diversificar su negocio pasado un tiempo.

Estos ciberdelincuentes también son los responsables de crear Angler, más conocido como XXX, uno de los kits de exploit más sofisticados hasta la fecha. Primero se diseñó como una herramienta para hacer llegar Lurk a sus víctimas, pero sus creadores decidieron vender Angler a terceros. Su éxito y su aparente invencibilidad dio al grupo responsable de Lurk un estatus casi legendario entre los ciberdelincuentes rusos, lo que dio un buen empujón a las ventas de Angler en el mercado negro.

Angler llegó a ser muy popular entre los ciberdelincuentes. Por ejemplo, se utilizó para distribuir CryptXXX y Teslacrypt.

Pero el grupo empezó a tener los días contados cuando empezaron a vender Angler. La policía rusa, con la ayuda de Kaspersky, había recopilado información suficiente para arrestar a los miembros del grupo sospechoso. En junio de 2016, la actividad de Lurk cesó y, poco después, la de Angler también. Los ciberdelincuentes llegaron a creer que nunca los atraparían por las precauciones que tomaban.

Sus precauciones les valieron durante una temporada, pero hasta el más inteligente de los ciberdelincuentes es humano. Tarde o temprano tropezarían y cometerían algún error y un equipo de investigadores les encontraría. Suele ser cosa de tiempo y de mucho esfuerzo, pero así es cómo llevamos la justicia al cibermundo.

Consejos