Các dấu hiệu đầu tiên của chiến dịch lừa đảo này bị phát hiện vào ngày 20 tháng 1 năm 2014 khi các chuyên gia của Kaspersky tìm ra một máy chủ C&C trên mạng. Theo các bản logs tìm thấy trong các máy chủ này thì chỉ cần một tuần tội phạm mạng đã đánh cắp hơn nửa triệu Euro từ các tài khoản trong ngân hàng. Bảng điều khiển của máy chủ cũng chỉ ra bằng chứng về một chương trình Trojan được sử dụng để ăn cắp tiền từ tài khoản của khách hàng.
Các chuyên gia đồng thời phát hiện ra các bản logs giao dịch trên máy chủ, có chứa thông tin về số tiền được lấy cắp từ các tài khoản. Tổng cộng, có hơn 190 nạn nhân được xác định, phần lớn trong số họ đến từ Italya và Thổ Nhĩ Kỳ. Theo các bản logs, số tiền bị đánh cắp từ mỗi tài khoản ngân hàng dao động từ 1.700 đến 39.000 Euro.
Chiến dịch này đã được thực hiện ít nhất một tuần cho đến khi máy chủ C&C bị phát hiện, nghĩa là chúng bắt đầu trước ngày 13 tháng 1 năm 2014. Trong thời gian đó các tội phạm mạng đánh cắp thành công hơn 500.000 Euro. Hai ngày sau khi phát hiện ra máy chủ C&C, bọn tội phạm đã loại bỏ tất cả các bằng chứng được sử dụng để theo dõi và phát hiện chúng. Tuy nhiên, các chuyên gia cho rằng điều này có lẽ liên quan đến những thay đổi trong cơ sở dữ liệu được sử dụng trong chiến dịch độc hại chứ không phải điểm dừng của chiến dịch Luuuk.
Vicente Diaz, nhà nghiên cứu bảo mật chính của Kaspersky Lab,cho biết: “Ngay sau khi phát hiện máy chủ C&C, chúng tôi đã liên hệ với bộ phận bảo mật của ngân hàng và các cơ quan pháp luật để gửi tất cả các bằng chứng mà chúng tôi có cho họ.”
Trong trường hợp của chiến dịch lừa đảo Luuuk, các chuyên gia có căn cứ cho rằng dữ liệu tài chính quan trọng đã bị chặn tự động và các giao dịch gian lận đã được thực hiện cho đến khi các nạn nhân đăng nhập vào tài khoản ngân hàng trực tuyến của họ. “Trên hệ thống C&C cũng không phát hiện ra thông tin mà các phần mềm độc hại được sử dụng trong chiến dịch này. Tuy nhiên, rất nhiều biến thể của Zeus như (Citadel, SpyEye, IceIX, etc) có khả năng đã thực hiện chiến dịch đó. Kaspersky tin rằng phần mềm độc hại được sử dụng trong chiến dịch này có thể là một phần của Zeus.” Vicente Diaz nói thêm.
Cách mà bọn tội phạm chuyển tiền đánh cắp được đến tài khoản của chúng rất thú vị và lạ thường. Các chuyên gia của Kaspersky chú ý đến những điều không minh bạch trong tổ chức được gọi là “drops”, nơi có những kẻ tham gia rút tiền qua máy ATM từ một vài tài khoản đặc biệt được tạo ra. Có bằng chứng của nhiều nhóm “drops”, được giao những số tiền khác nhau. Một nhóm chịu trách nhiệm cho việc chuyển khoản khoảng 40-50 ngàn Euros, nhóm khác từ 15-20 ngàn và nhóm thứ 3 không quá 2 ngàn Euros.
Vicente Diaz, nhà nghiên cứu bảo mật chính của Kaspersky Lab nói thêm: “Sự khác biệt trong số tiền được phân chia cho mỗi “drops’ khác nhau thể hiện mức độ tin tưởng cho mỗi loại “drops” đó. Chúng ta biết rằng thành viên của các chương trình thường xuyên lừa các đối tác và bỏ trốn với số tiền mặt mà chúng có được. Tên trùm của Luuk có thể cố gắng đề phòng trước những nguy cơ bằng cách thiết lập các nhóm khác nhau với nhiều cấp độ tin tưởng khác nhau: Tiền được phân chia càng nhiều thì mức độ tin tưởng càng cao.”
Các máy chủ C&C liên quan đến chiến dịch The Luuuk đã bị đóng cửa ngay sau khi cuộc điều tra bắt đầu. Tuy nhiên, mức độ phức tạp của các hoạt động MITB cho thấy rằng những kẻ tấn công sẽ tiếp tục tìm kiếm nạn nhân mới cho chiến dịch này. Các chuyên gia của Kaspersky vẫn tiếp tục theo dõi những hoạt động đang diễn ra của chiến dịch The Luuk.
Bằng chứng được phát hiện bởi các chuyên gia của Kaspersky Lab chỉ ra rằng chiến dịch này có lẽ được thực hiện bởi các tổ chức tội phạm chuyên nghiệp. Tuy nhiên, công cụ độc hại mà chúng sử dụng để ăn cắp tiền có thể được ngăn chặn bởi công nghệ bảo mật tiên tiến.
TB