Početkom ovog leta, kompanija Kaspersky Lab asistirala je u hapšenju članova sajber kriminalne grupe Lurk, koja je navodno ukrala više od 45 miliona aameričkih dolara od brojnih kompanija i banaka u Rusiji. Ovo je najveća finansijska sajber kriminalna grupa koja je uhvaćena u prethodnih nekoliko godina. Međutim, to nije bila jedina kriminalna aktivnost u koju je bila uključena Lurk grupa. Prema rezultatima analize IT infrastrukture koja stoji iza Lurk malvera, njegovi kreatori su razvijali i iznajmljivali ove alate drugim kriminalcima. Jedan takav set malicioznih programa, Angler, imao je sposobnost da koristi ranjivosti na velikom broju softverskih programa i neprimetno instalira dodatni malver na PC računare.
Godinama je Angler bio jedan od najjačih alata na podzemnoj hakerskoj sceni. Njegova aktivnost datira još od 2013. godine, kada je alat postao dostupan za iznajmljivanje. Veći broj sajber kriminalnih grupa koje su distriburale najrazličitije malvere, koristio je ovaj alat: od adware virusa, preko bankarskih malvera i ransomware napada. Tačnije, ovaj alat je aktivno koristila hakerska grupa koja je zaslužna za CryptXXX ransomware napade, jednu od najaktivnijih i najopasniji onlajn ransomware pretnji, TeslaCrypt i druge. Angler alat je takođe korišćen za distribuciju Neverquest bankarskog trojan virusa, koji je kreiran sa ciljem da napadne skoro 100 različitih banaka. Akcije u kojima je korišćen Angler alat prekinute su odmah nakon hapšenja Lurk grupe.
Kao što je istraživanje koje su sproveli stručnjaci iz kompanije Kaspersky Lab pokazalo, Angler alat je prvobitno kreiran sa samo jednom namerom – da obezbedi Lurk grupi pouzdan i efikasan kanal za distribuciju, omogućujući njihovom bankarskom malveru da targetira PC računare. Budući da je Lurk bila veoma zatvorena grupa, njeni članovi su pokušali da uspostave potpunu kontrolu nad kritičnom infrastrukturom, umesto da su neke njene delove prepustili drugim ljudima, kao što to čine druge grupe. Međutim, tokom 2013. godine stvari su se promenile, i grupa je omogućila pristup alatu svima koji su bili zainteresovani i voljni da plate.
„Mislimo da je odluka kriminalne grupe Lurk da dozvoli pristup Angler alatu prouzrokovana činjenicom da je članovima grupe bio neophodan novac kako bi mogli da pokriju sopstvene troškove. U trenutku kada su odlučili da iznajmljuju Angler alat, profitabilnost njihove glavne delatnosti, sajber kriminala, počela je da opada usled opsežnih bezbednosnih mera koje su implementirali kreatori daljinskih bankarskih softverskih sistema. Zbog toga je hakerima u velikoj meri bio otežan proces krađe. U tom trenutku, Lurk je već postala velika mrežna infrastruktura sa velikim brojem „zaposlenih“, što je zahtevalo ozbiljne finansije. Zbog toga su članovi grupe odlučili da prošire svoje poslovanje, i to im je uspelo do određene mere. I dok je Lurk bankarski trojan virus predstavljao opasnost smo za organizacije u Rusiji, Angler alat je korišćen u napadima na organizacije širom sveta”, objasnio je Ruslan Stojanov (Ruslan Stoyanov), direktor sektora za istragu računarskih incidenata u kompaniji Kaspersky Lab.
Angler alat, uključujući njegov razvoj i podršku, nije bio jedina „dodatna aktivnost“ grupe Lurk. Tokom period koja ji trajao više od 5 godina, ova grupa je promenila način funkcionisanja i prebacila se sa kreiranja veoma moćnih malver programa za automatizovanu krađu novca na sofisticirane kampanje za krađu, koje su podrazumevale zamenu SIM kartica i korišćenje hakera „specijalista“ koji su bili upoznati sa unutrašnjom infrastrukturom banaka.
Sve aktivnosti grupe Lurk u ovom periodu nadgledali su i dokumentovali bezbednosni stručnjaci iz kompanije Kaspersky Lab.