Un attacco informatico ai danni di una grande banca europea ha portato al furto di più di mezzo milione di euro in una settimana. Le prove sono state raccolte dagli esperti del Global Research and Analysis Team di Kaspersky Lab, che hanno avuto le prime avvisaglie di questa frode il 20 gennaio di quest'anno, quando hanno rilevato in rete un server di comando e controllo (C&C). Il pannello indicava la presenza di un trojan utilizzato per rubare denaro dai conti correnti bancari dei clienti.
Gli esperti hanno inoltre rinvenuto i registri delle transazioni avvenute sul server, che contenevano informazioni sui conti correnti delle vittime (oltre 190, la maggior parte in Italia e Turchia) e sulle somme di denaro prelevate, che oscillavano dai 1.700 ai 39.000 euro.
La truffa ha avuto inizio non più tardi del 13 gennaio 2014 ed è andata avanti per una settimana prima che il server di comando e controllo fosse individuato. In questo frangente i criminali informatici sono riusciti a rubare più di 500 mila euro, poi hanno rimosso tutte le informazioni che avrebbero consentito di rintracciarli. Gli esperti, però, sono convinti che questo sia dovuto ai cambiamenti dell'infrastruttura tecnica utilizzata, piuttosto che alla fine di quella che stata battezzata campagna Luuuk.
I ricercatori di sicurezza ritengono infatti che importanti dati finanziari siano stati intercettati in modo automatico e che le transazioni fraudolente venissero effettuate nel momento in cui la vittima effettuava la registrazione sui conti bancari online. "Sul server C&C non esisteva alcuna informazione sul tipo di malware utilizzato in questa campagna. Tuttavia, molte varianti di Zeus che conosciamo (Citadel, SpyEye, IceIX, ecc) hanno questo tipo di capacità. Crediamo, quindi che il malware utilizzato in questa campagna possa essere una variante di Zeus che utilizza sofisticati processi web di infezione" spiega Vicente Diaz, Principal Security Researcher di Kaspersky Lab.
Quel che è certo è che il denaro rubato veniva trasferito sui conti dei truffatori in un modo del tutto insolito: i partecipanti alla truffa ricevevano parte del denaro rubato in conti bancari appositamente creati e in contanti tramite bancomat. Sono stati individuati diversi gruppi, a ciascuno dei quali venivano assegnate diverse somme di denaro. Uno era responsabile del trasferimento delle somme di denaro che si aggiravano tra i 40 e i 50 mila euro, un secondo gruppo si occupava delle somme tra i 15 e i 20 mila e il terzo non trasferiva più di 2 mila euro.
"Le differenze nella quantità di denaro affidato a un gruppo piuttosto che a un altro sono indicative dei livelli di fiducia goduti da ciascun membro. Creando diversi gruppi con differenti livelli di fiducia, coloro che gestiscono Luuuk tentano di prevenire le perdite, quindi più soldi vengono affidati e più è alto il livello di fiducia nei confronti delle persone", ha aggiunto Vicente Diaz.
Il server di comando e controllo (C&C) relativo a Luuuk è stato chiuso poco dopo l'inizio delle indagini. Tuttavia, il livello di complessità dell'operazione fa pensare che i criminali continueranno a cercare nuove vittime. L'indagine è ancora in corso.