Para ahli Kaspersky Lab dan Sberbank, salah satu bank terbesar di Rusia, bekerja sama dengan Badan Penegakan Hukum Rusia dalam penyelidikan kelompok hacker Lurk yang hingga saat ini telah menghasilkan penangkapan terhadap 50 orang. Mereka yang ditahan diduga terlibat dalam penciptaan jaringan komputer terinfeksi yang mengakibatkan pencurian lebih dari 45 juta dolar (3 miliar rubel1) dari bank, lembaga keuangan lainnya serta perusahaan sejak 2011. Hal ini menjadi penangkapan hacker terbesar yang pernah terjadi di Rusia.
Pada tahun 2011, Kaspersky Lab mendeteksi adanya aktivitas kelompok hacker terorganisir yang menggunakan Trojan Lurk – sebuah malware canggih, universal dan multi-modular dengan fungsi yang luas – untuk mendapatkan akses ke komputer korban. Kelompok hacker ini memiliki misi yang spesifik yaitu mencari cara agar dapat mengontrol layanan perbankan dari jarak jauh sehingga mereka bisa mencuri uang dari rekening para nasabah.
“Dari sejak awal, para ahli Kaspersky Lab memang terlibat dalam penyelidikan yang dilakukan oleh penegak hukum terhadap Lurk. Kami menyadari sejak awal bahwa Lurk merupakan sekelompok hacker Rusia yang membawa ancaman serius baik bagi organisasi maupun pengguna. Lurk mulai menyerang perbankan satu setengah tahun yang lalu; bahkan sebelumnya program jahat kelompok ini telah menargetkan sistem dari berbagai perusahaan serta konsumen.
“para ahli perusahaan kami segera menganalisa perangkat lunak berbahaya tersebut dan berhasil mengidentifikasi jaringan hacker di komputer dan server. Berbekal pengetahuan tersebut, Polisi Rusia bisa mengidentifikasi para tersangka dan mengumpulkan bukti kejahatan yang telah mereka lakukan. Kami berharap dapat membantu pihak berwajib untuk menangkap lebih banyak lagi penjahat siber,” ungkap Ruslan Stoyanov, Head of computer incidents investigation di Kaspersky Lab.
Selama proses penangkapan polisi Rusia berhasil mencegah pengiriman transaksi uang palsu senilai lebih dari 30 juta dolar (2,273 miliar rubel2).
Trojan Lurk
Dalam rangka menyebarkan malware, kelompok hacker Lurk menginfeksi berbagai situs web yang resmi dengan cara mengeksploitasi, termasuk media terkemuka dan situs berita. Korban hanya harus mengunjungi halaman website yang telah diretas dan kemudian terinfeksi oleh Trojan Lurk. Setelah berada di dalam PC korban, malware akan segera mulai mengunduh modul berbahaya tambahan yang memungkinkannya untuk mencuri uang korban.
Website media bukan satu-satunya target non-keuangan dari kelompok ini. Untuk menyembunyikan jejak mereka yang terdapat pada koneksi VPN, para penjahat juga menyusup ke berbagai perusahaan IT dan telekomunikasi, menggunakan server mereka untuk tetap anonim.
Trojan Lurk memiliki ciri khas yaitu kode berbahaya mereka tidak disimpan di komputer korban tetapi dalam random access memory (RAM). Juga, para pengembang mencoba untuk membuatnya sesulit mungkin bagi solusi anti-virus untuk mendeteksi Trojan. Jadi mereka memanfaatkan layanan VPN yang berbeda, jaringan Tor anonim, meretas titik koneksi Wi-Fi dan server milik organisasi TI yang mereka serang.
Kami mengingatkan kembali perusahaan agar lebih memperhatikan langkah-langkah keamanan mereka dan untuk secara teratur melakukan pemeriksaan keamanan infrastruktur TI, sehingga setidaknya mereka terlindungi dari kerentanan yang terdeteksi. Hal yang juga sangat penting adalah mengajarkan para karyawan dasar-dasar berperilaku siber yang aman dan bertanggung jawab.
Selain itu, perusahaan perlu untuk segera menjalankann langkah-langkah keamanan ini sehingga memungkinkan untuk mendeteksi serangan ditargetkan yang sedang terjadi. Strategi terbaik yang dapat digunakan saat ini adalah menyempurnakan tindak pencegahan terhadap ancaman dengan melakukan investasi yang signifikan dalam pendeteksian dan respon terhadap ancaman. Bahkan serangan yang ditargetkan paling canggih sekalipun dapat terdeteksi yaitu melalui aktivitas abnormal serangan ketika dibandingkan dengan alur kerja bisnis yang normal.
Solusi terbaru Kaspersky Lab memang dirancang untuk mendeteksi serangan yang ditargetkan mencakup sistem cerdas untuk menganalisis anomali yang terjadi – Kaspersky Anti Targeted Attack Platform.
Kaspersky Lab mendeteksi Trojan Lurk sebagai Trojan.Win32.Lurk, Trojan-Banker.Win32.Lurk, Trojan-Spy.Win32.Lurk.