La începutul acestei veri, Kaspersky Lab a contribuit la arestarea unor suspecți care făceau parte din gruparea Lurk, bănuită că a furat peste 45 de milioane de dolari de la mai multe companii și bănci din Rusia. Este vorba de cel mai mare grup din domeniul infracționalității cibernetice care a fost prins în ultimii ani. Dar aceasta nu era singura activitate de infracționalitate cibernetică în care grupul Lurk era implicat. Potrivit analizei infrastructurii IT din spatele programului malware Lurk, membrii ei dezvoltau și închiriau kit-ul de exploit-uri altor infractori cibernetici.
Kit-ul Angler este un set de programe malware capabile să exploateze vulnerabilitățile din programe populare și să instaleze, în secret, alte programe malware pe PC-uri. Timp de mai mulți ani, kit-ul de exploit-uri Angler a fost unul dintre cele mai puternice instrumente disponibile pe piața neagră, pentru hackeri. Activitatea Angler datează de la finalul anului 2013, când kit-ul a început să fie închiriat. Mai multe grupări de infractori cibernetici, implicate în răspândirea a diferite tipuri de programe malware, l-au folosit: de la adware, la crearea de malware și ransomware. Acest kit a fost folosit de grupul aflat în spatele programului CryptXXX ransomware, una dintre cele mai active și periculoase amenințări ransomware, TeslaCrypt și altele.
De asemenea, cu ajutorul Angler, a fost răspândit troianul bancar Neverquest, folosit pentru a ataca aproape 100 de bănci diferite. Operațiunile Angler au fost întrerupte imediat după arestarea grupului Lurk. După cum a arătat cercetarea făcută de experții Kaspersky Lab, kit-ul Angler a fost creat, inițial, cu un singur scop: să ofere grupului Lurk un canal de distribuție eficient, care să le permită programelor malware bancare să atace PC-urile. Fiind un grup închis, gruparea Lurk a încercat să preia singură controlul asupra infrastructurii de importanță crucială, în loc să externalizeze anumite părți, după cum procedează alte grupuri. În 2013, însă, lucrurile s-au schimbat pentru ei și au dat acces la kit tuturor dispuși să plătească.
“Este posibil ca decizia grupului Lurk de a da acces la Angler, să fi fost, parțial, cauzată de nevoia de bani. În momentul în care au făcut din Angler un sistem de închiriat, profitabilitatea activității lor principale – furtul cibernetic din organizații – scăzuse din cauza unui set de măsuri de securitate implementate de dezvoltatorii de programe bancare la distanță. Acest lucru a făcut lucrurile mult mai dificile pentru hackeri. Dar, în acel moment, Lurk avea o infrastructură uriașă și un “personal” numeros, iar pentru toate acestea era nevoie de bani. În timp ce troianul bancar Lurk reprezenta o amenințare doar pentru organizațiile rusești, Angler a fost folosit în atacuri împotriva utilizatorilor din toată lumea”, a explicat Ruslan Stoyanov, Head of Computer incident investigations department.