{"id":23917,"date":"2022-02-15T09:20:11","date_gmt":"2022-02-15T15:20:11","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23917"},"modified":"2022-02-15T09:20:11","modified_gmt":"2022-02-15T15:20:11","slug":"lurk-cybercrime-inc","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/lurk-cybercrime-inc\/23917\/","title":{"rendered":"Lurk: una empresa de cibercrimen ejemplar"},"content":{"rendered":"

El juicio de los creadores del troyano bancario Lurk<\/a> finalmente termin\u00f3. Fueron detenidos debido a una operaci\u00f3n conjunta sin precedentes entre varias autoridades y la ayuda de nuestros expertos. Los criminales fueron arrestados en el 2016; sin embargo, la investigaci\u00f3n y el caso en el tribunal se alargaron durante otros cinco a\u00f1os. Pero esto no deber\u00eda sorprendernos, ya que la cantidad de sospechosos y v\u00edctimas involucrados no ten\u00eda precedente. Incluso fue necesario transportar a los miembros de Lurk en autob\u00fas. Y los archivos del caso ocupaban hasta 4000 vol\u00famenes (un volumen = 250 p\u00e1ginas). La cantidad de trabajo era enorme y requer\u00eda mucho tiempo, los sospechosos analizaron todos los registros y declaraciones con lupa, pero en el 2018, 27 acusados fueron a juicio.<\/p>\n

Kaspersky ha estado monitoreando las actividades del grupo desde el 2011. Escuch\u00e9 sobre Lurk por primera vez cuando llegu\u00e9 a la empresa en el 2013. Recuerdo que pens\u00e9: \u201cAtr\u00e1palos y puedes retirarte f\u00e1cilmente. Tu carrera estar\u00e1 pr\u00e1cticamente concluida.\u201d En comparaci\u00f3n con los cibercriminales usuales de ese entonces, estos parec\u00edan ser verdaderamente sofisticados, tanto en el aspecto t\u00e9cnico como en el de organizaci\u00f3n. Habiendo dicho esto, si el d\u00eda de hoy me encontrara a Lurk, probablemente no estar\u00eda tan impresionado y los ver\u00eda como un grupo que se apeg\u00f3 a las mejores pr\u00e1cticas.<\/p>\n

El veredicto de la corte es una buena excusa para poner la mira retrospectiva sobre los aspectos destacados de su actividad cibercriminal.<\/p>\n

Esquema de infecci\u00f3n<\/h2>\n

Debemos iniciar con el vector de infecci\u00f3n. Los atacantes utilizaron una t\u00e1ctica watering-hole<\/a>, la cual publicaba un redireccionamiento a un kit de exploits<\/em> en varios sitios web de medios de empresas. Este m\u00e9todo no era nuevo, pero en este caso, para infectarse, la v\u00edctima (siempre un contador) hab\u00eda visitado el sitio durante su hora de comida (y solo en este momento). El kit de exploits<\/em> descarg\u00f3 un troyano sin archivos en su computadora, el cual se utiliz\u00f3 \u00fanicamente para espiar.<\/p>\n

Los cibercriminales primero estudiaron qu\u00e9 programas se ejecutaban en la m\u00e1quina, ya sea que fueran software bancario o cualquier rastro de software de investigaci\u00f3n, y en qu\u00e9 subredes trabajaba la m\u00e1quina (el enfoque principal eran las redes bancarias y gubernamentales). En otras palabras, evaluaron qu\u00e9 tan interesante era la computadora, y sab\u00edan exactamente a qui\u00e9n quer\u00edan afectar.<\/p>\n

El malware<\/em> principal se descargaba solo si la computadora era de inter\u00e9s. De no ser as\u00ed, robaban todas las contrase\u00f1as que pod\u00edan obtener, por si acaso, y eliminaban el malware<\/em> de la m\u00e1quina de la v\u00edctima.<\/p>\n

Comunicaci\u00f3n con C&C<\/h2>\n

El proceso de intercambio de informaci\u00f3n entre el troyano y el servidor comando-y-control<\/a> (C&C) no era menos notable. La mayor\u00eda de los troyanos de esa \u00e9poca inclu\u00edan la direcci\u00f3n del C&C prefijada en el c\u00f3digo fuente. Los autores simplemente especificaron el nombre de dominio, lo que les dej\u00f3 la opci\u00f3n, de ser necesario, de cambiar la direcci\u00f3n IP del servidor: es decir, si perd\u00edan control de las direcciones principales del C&C, simplemente pod\u00edan reemplazarlas con un respaldo. En definitiva, era un mecanismo de seguridad bastante primitivo. En este respecto, Lurk era muy diferente: el grupo empleaba un m\u00e9todo digno de una novela de esp\u00edas.<\/p>\n

Antes de una sesi\u00f3n de comunicaci\u00f3n, Lurk calculaba la direcci\u00f3n del servidor C&C. Los cibercriminales buscaban en Yahoo! el precio de las acciones de una empresa espec\u00edfica (durante nuestra investigaci\u00f3n, era McDonald\u2019s). Dependiendo del valor de la acci\u00f3n en un momento espec\u00edfico, generaban un nombre de dominio y acced\u00edan a este. Es decir, para controlar el troyano, los cibercriminales investigaron el precio de las acciones en ese momento preciso y registraron un nombre de dominio con base en estas cifras. En otras palabras, era imposible saber por adelantado qu\u00e9 nombre de dominio se utilizar\u00e1 para el servidor C&C.<\/p>\n

Esto plantea una pregunta leg\u00edtima: si el algoritmo estaba incrustado en el troyano, \u00bfqu\u00e9 evitaba que un investigador generara esta secuencia, registrara un nombre de dominio antes que los cibercriminales, y solo esperara el troyano para conectarse a este? Pero los creadores de Lurk hab\u00edan tomado sus precauciones. Utilizaron criptograf\u00eda asim\u00e9trica<\/a>. Es decir, se generaba un par de claves, con lo que el bot, al acceder al servidor C&C, utilizaba la clave p\u00fablica para comprobar si realmente pertenec\u00eda a sus propietarios (verificando la firma digital). Esto es imposible de falsificar sin conocer la clave secreta. As\u00ed que, solo el propietario de la clave secreta puede recibir solicitudes de bots y emitir comandos, ning\u00fan investigador externo puede emular el servidor C&C. Otros cibercriminales no utilizaron este m\u00e9todo de protecci\u00f3n en ese entonces, de manera que si detect\u00e1bamos protecci\u00f3n de la clave privada en el servidor, podr\u00edamos asegurarnos de que era un ataque de Lurk.<\/p>\n

Infraestructura organizada<\/h2>\n

La configuraci\u00f3n de los procesos de Lurk merece una menci\u00f3n aparte. Si otros grupos cibercriminales de ese momento era solo un mont\u00f3n de usuarios de foros (uno se encarg\u00f3 de la programaci\u00f3n, otro de cobrar, un tercero fue el coordinador), entonces, en contraste, Lurk fue casi una empresa de TI hecha y derecha. Es m\u00e1s preciso compararlos con una gran corporaci\u00f3n de software que con un grupo cibercriminal. Es m\u00e1s, en t\u00e9rminos de nivel organizativo, siguen siendo un modelo para muchos grupos hasta este d\u00eda.<\/p>\n

Verdaderos profesionales operaban Lurk (muy probablemente con buena experiencia en desarrollo) quienes construyeron una infraestructura altamente organizada con gerentes y personal de recursos humanos. A diferencia de muchas grupos, les pagaban a sus empleados un salario (en lugar de un porcentaje de las ganancias). Incluso sol\u00edan celebrar reuniones informativas semanales, lo que en aquella \u00e9poca era totalmente inaudito. En resumen, era una corporaci\u00f3n maligna ejemplar.<\/p>\n

Incluso contaban con un sistema claro estructurado basado en funciones, para restringir el acceso a la informaci\u00f3n.\u00a0 Despu\u00e9s de su arresto, algunos miembros del grupo leyeron la correspondencia de sus jefes y solo en ese momento se dieron cuenta de que no se les estaba tratando justamente.<\/p>\n

Documentaron minuciosamente todas sus actividades, mucho m\u00e1s que muchas empresas de TI hoy en d\u00eda. Esto, por supuesto, ayud\u00f3 en gran manera a la investigaci\u00f3n. Y, tal vez, fue lo que finalmente caus\u00f3 su ca\u00edda: mientras m\u00e1s sistem\u00e1tico sea tu enfoque, es m\u00e1s f\u00e1cil rastrearte. Estos son algunos ejemplos.<\/p>\n

Base de conocimiento<\/h3>\n

El grupo Lurk mantuvo una base de conocimiento detallada que estaba claramente dividida en proyectos. Cada proyecto estaba accesible solo a ciertas personas, es decir, los participantes de un proyecto no sab\u00edan sobre las actividades de otro. El alcance de los proyectos variaba, desde el punto de vista t\u00e9cnico hasta el organizativo. Y los proyectos t\u00e9cnicos tambi\u00e9n estaban subdivididos en niveles. Por ejemplo, los desarrolladores del troyano ten\u00edan acceso a la base de conocimiento solo en relaci\u00f3n con los temas: c\u00f3mo evitar los antivirus, c\u00f3mo probar, etc. Pero tambi\u00e9n hab\u00eda bases de datos generales en seguridad operativa (similar a las regulaciones de seguridad en empresas grandes). Estos proporcionaban informaci\u00f3n sobre c\u00f3mo los empleados de Lurk deber\u00edan configurar sus estaciones de trabajo para evitar la detecci\u00f3n y c\u00f3mo utilizar las herramientas de anonimato.<\/p>\n

Acceso a la informaci\u00f3n<\/h3>\n

Para obtener acceso al recurso de informaci\u00f3n de Lurk, los cibercriminales necesitaban conectarse a alg\u00fan servidor mediante varias VPN. Incluso as\u00ed, solo recibieron acceso a la administraci\u00f3n de bots. Despu\u00e9s, cada empleado obtuvo su propio certificado y su propia cuenta con diferentes derechos. En otras palabras, era como una red corporativa normal configurada para el trabajo remoto. En general, si no hubiera sido por su falta de 2FA, podr\u00edan haber sido considerados una empresa modelo.<\/p>\n

En f\u00edsico, todos los servidores estaban ubicados en distintos centros de datos y en distintos pa\u00edses. Cuando llegas a uno de estos a nivel virtual mediante una VPN, no conoces la verdadera direcci\u00f3n IP del servidor. Y eso fue en gran manera por lo que el grupo era tan dif\u00edcil de detectar.<\/p>\n

Desarrollo<\/h3>\n

El grupo Lurk ten\u00eda repositorios adecuados de c\u00f3digo fuente, desarrollo automatizado y procedimientos de pruebas de varios pasos, un servidor de producci\u00f3n, un servidor de prueba y un servidor de desarrollo. En esencia, estaban haciendo un producto de software serio: en cualquier momento ten\u00edan una versi\u00f3n de producci\u00f3n, de prueba y de los desarrolladores del troyano.<\/p>\n

El servidor C&C promedio de un troyano t\u00edpico en ese entonces podr\u00eda recibir solicitudes de bots, registrarlas en una base de datos y proporcionar un panel de administraci\u00f3n para gestionarlas. Todo esto se implement\u00f3 de manera efectiva en una sola p\u00e1gina. Lurk implement\u00f3 el panel de administraci\u00f3n y la base de datos por separado, mientras que el mecanismo para enviar respuestas para los bots se oscureci\u00f3 por completo mediante un servicio intermediario.<\/p>\n

Kits de exploits<\/em><\/h3>\n

Lurk ten\u00eda tres kits de exploits<\/em>, cada uno de los cuales ten\u00eda tres nombres: uno interno, creado por sus desarrolladores, uno para clientes y socios y uno asignado por los investigadores. Lo que suced\u00eda es que no solo los autores de Lurk utilizaban sus propios desarrollos, sino que tambi\u00e9n vend\u00edan kits de exploits<\/em> por su lado, a otros cibercriminales. Es m\u00e1s, las versiones para los \u201csocios\u201d ten\u00edan un c\u00f3digo distinto, lo que era un intento claro por disfrazarlos como otro kits de exploits<\/em> muy popular.<\/p>\n

La ca\u00edda de Lurk<\/h2>\n

Al final, todos los trucos de los cibercriminales no sirvieron. La mayor\u00eda de los miembros del grupo fue arrestada. Pero solo despu\u00e9s de que el da\u00f1o estaba hecho: durante su amplia carrera, los atacantes pudieron robar aproximadamente 45 millones de d\u00f3lares. Nuestros expertos estuvieron estudiando sus m\u00e9todos durante casi seis a\u00f1os (que, por cierto, proporcion\u00f3 una valiosa experiencia que seguimos empleando para derrotar al cibercrimen).<\/p>\n

Para aquellos interesados en los aprendizajes de esta saga importante para las empresas, recomendamos leer este art\u00edculo<\/a>. Y un an\u00e1lisis t\u00e9cnico detallado est\u00e1 disponible en nuestra publicaci\u00f3n de Securelist<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Qu\u00e9 es lo que m\u00e1s recuerdan los investigadores sobre el grupo Lurk.<\/p>\n","protected":false},"author":2701,"featured_media":23918,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5666,1282,2672,2374],"class_list":{"0":"post-23917","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-amenazas-bancarias","11":"tag-investigacion","12":"tag-justicia","13":"tag-troyano-bancario"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lurk-cybercrime-inc\/23917\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lurk-cybercrime-inc\/23908\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lurk-cybercrime-inc\/19394\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/lurk-cybercrime-inc\/9752\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lurk-cybercrime-inc\/26146\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lurk-cybercrime-inc\/24107\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lurk-cybercrime-inc\/26921\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lurk-cybercrime-inc\/26465\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lurk-cybercrime-inc\/32377\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lurk-cybercrime-inc\/10523\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lurk-cybercrime-inc\/43683\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lurk-cybercrime-inc\/18559\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lurk-cybercrime-inc\/19008\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lurk-cybercrime-inc\/15804\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lurk-cybercrime-inc\/28161\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lurk-cybercrime-inc\/32446\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lurk-cybercrime-inc\/28118\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lurk-cybercrime-inc\/24829\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lurk-cybercrime-inc\/30251\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lurk-cybercrime-inc\/30030\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas-bancarias\/","name":"amenazas bancarias"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23917","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2701"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23917"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23917\/revisions"}],"predecessor-version":[{"id":23927,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23917\/revisions\/23927"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/23918"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23917"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23917"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23917"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}