Kaspersky contra APT

Os peritos da Kaspersky Lab e do Sberbank, um dos maiores bancos da Rússia, colaboraram estreitamente com diversas agências e forças da segurança ´daquele país numa investigação que teve como resultado a detenção de 50 pessoas pertencentes ao grupo cibercriminoso Lurk. Os detidos são suspeitos de infetar várias redes e, com isso, roubar mais de 45 milhões de dólares*.

Em 2011, os peritos da Kaspersky Lab detetaram a atividade de um gangue de cibercriminosos que utilizava o Trojan Lurk, um sofisticado malware multi-modular com muitas e variadas funcionalidades que permitia aceder aos dispositivos das vítimas. Mais concretamente, o grupo tinha como objetivo encontrar uma via de entrada para os serviços bancários remotos e roubar dinheiro das contas dos utilizadores.

Durante a detenção, as autoridades conseguiram impedir transações num valor de mais de 30 milhões de dólares*.

O Trojan Lurk

Para propagar o malware, o Lurk infetou varias páginas web legítimas com exploits, incluindo páginas de meios de comunicação e notícias. Uma vítima só tinha que visitar uma das páginas web comprometidas para ser infetada pelo Trojan Lurk. Uma vez dentro do PC da vítima, o malware descarregava módulos maliciosos adicionais que permitiam roubar o dinheiro das vítimas.

As páginas web de meios de comunicação não foram as únicas não-financeiras a ser atacadas pelo grupo. Para ocultar o seu rasto, também atacaram várias companhias de telecomunicações e de TI, utilizando os seus servidores para permanecer ocultos.  

O Trojan Lurk tem como particularidade o facto de o seu código malicioso não ser armazenado no dispositivo da vítima, mas na memória RAM. Além disso, tentaram dificultar o mais possível a sua deteção, utilizando diferentes serviços de VPN, a rede TOR, ligações Wi-Fi já comprometidas e servidores pertencentes às empresas de TI atacadas.

Recomendações 

• A Kaspersky Lab recomenda às empresas que apertem as suas medidas de segurança e verifiquem de forma regular a sua infraestrutura de segurança TI. 

• É extremamente importante consciencializar e formar os colaboradores das empresas

•  De igual modo, as empresas necessitam de implementar medidas de segurança que lhes permitam detetar ataques dirigidos (APTs). Neste sentido, a melhor estratégia é não só manter uma estratégia de prevenção, como também a deteção e a resposta. Até a APT mais sofisticada pode ser detetada pelo seu comportamento anormal quando é feita a comparação com o fluxo de trabalho regular.

Os produtos e soluções da Kaspersky Lab detetam o Trojan Lurk como Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk.

*Dados do Ministério do Interior da Rússia

Mais informação:

https://threatpost.com/arrests-made-in-45m-russian-bank-hack/118405/

http://www.kaspersky.es/enterprise-security/anti-apt

http://www.kaspersky.com/enterprise-security/cybersecurity-awareness