Банковский троянец Lurk уничтожен!

Как Лаборатория Касперского помогла выследить киберпреступников.
Любая поимка преступников, этой сложный и длительный процесс, нужно собрать как можно больше доказательной базы, экспертиз и прочего, это с обычными преступниками. А  с киберпреступниками еще сложнее т. к они практически не оставляют следов но, нет ничего невозможного, рано или поздно преступники ошибутся.
История с банковским троянцем Lurk началась в 2011 году, когда он впервые попал в поле зрения аналитиков. Стоит отметить, что он даже не был классифицирован, как банковский троян ворующий деньги, это был многофункциональный зловред использовавшийся для чего угодно, но только не для воровства денег.
Когда аналитики присмотрелись к нему поближе. Выяснилось, что данный зловред для кражи денег использовал легальное банковское ПО для удаленного доступа. Попав на ПК и обнаружив там банковское ПО, троянец скачивал дополнительный модуль, который и позволял ему использовать легальное программное обеспечение, это то и затрудняло его исследование.
Так же зловред не оставлял практически никаких следов т. к работал только в оперативной памяти компьютера, что позволяло ему длительное время оставаться незамеченным.  Командные сервера располагались на фальшивых адресах, а трафик шифровался, все это позволяло киберпереступникам длительное время оставаться незамеченными.
В Лаборатории Касперского выяснили, что за разработку этого троянца отвечали 15 человек, а на момент задержания их было 40. Вся эта банда была разделена на две группы, первая группа занималась разработкой троянца, вторая отвечала за ботнет, который и распространял это вредоносное ПО.

lurk-structure

Стоит отметить, что эта группировка создала один из самых сложных эксплойт-китов Angler (другое название ххх), он предназначался для внедрения банковского троянца и делал это так хорошо, что преступники решили продавать его другим злодеям. При помощи этого эксплойта распространялись такие известные вымогатели, как TeslaCrypt и CryptXXX что подняло репутацию Angler до небес.
Но, как только преступники начали продажи эксплойта их дни уже были сочтены. Благодаря Лаборатории Касперского полиции удалось собрать достаточно доказательств и в 2016 году вся преступная группа была обезврежена, а распространение троянца сошло на нет, вскоре за ним последовал и эксплойт Angler.

Несмотря на то, что преступники использовали достаточно большие меры предосторожности в итоге, все равно были пойманы, хоть это заняло и достаточно много времени.