許多安全專家懷疑，俄羅斯警方5月底逮捕黑客組織Lurk與之后釣魚攻擊工具包Angler Exploit Kit不明所以的停止更新之間存在關聯(lián)。

Lurk黑客團伙被捕及隨后的“巧合”

5月底，俄羅斯政府宣布，抓獲涉嫌竊取4500萬美元的黑客團伙，涉案人數(shù)多達50人，該網(wǎng)絡犯罪組織名為Lurk，從2011年成型，開始攻擊目標為一些組織和用戶，大概在一年半之前，將目光轉向銀行，一共從銀行和其他金融機構以及企業(yè)共盜竊超過4500萬美元。

而就在逮捕發(fā)生一周后，一些安全公司宣布：Angler——世界上最先進的EK忽然停止更新，銷聲匿跡。

隨后一周，Necurs僵尸網(wǎng)絡也停止所有活動，但是最終于3周后重新復活，恢復運行。

Lurk、Angler和Necurs 僵尸網(wǎng)絡之間的關聯(lián)

Cisco的 Talos 小組表示：

所有的停止運作行為都不是偶然的！此3者間存在共同紐帶。

Lurk銀行木馬使用的125C＆C服務器，85％的都是一個使用john[.]bruggink@yahoo[.]co[.]uk的電子郵件地址的人注冊的。

關于Lurk木馬

Lurk木馬是一種復雜的、通用的、多模塊的多功能惡意軟件，能夠獲取受害者計算機的訪問權限。Lurk木馬非常獨特，它的惡意代碼不會存儲在受害者的計算機中，而是在隨機訪問存儲器(RAM)中。

在去年2月發(fā)表的一項研究中，同樣的電子郵件地址在一場網(wǎng)絡犯罪活動中被用于注冊Angler payload delivery domains，傳播Bedep惡意軟件。

2月份的研究報告還發(fā)現(xiàn)，同樣的電子郵件地址還注冊了一小部分用于Necurs僵尸網(wǎng)絡的C＆C服務器的域名。

　　Lurk黑客團隊與犯罪軟件

雖然Necurs僵尸網(wǎng)絡最終復活了，但是Angler并沒有。Necurs的重現(xiàn)可能與它是傳播Dridex銀行木馬和Locky勒索軟件最大的來源這一事實有關，Necurs的復活行為可能由不同的團隊共同操作完成的。

不同的網(wǎng)絡犯罪集團之間存在聯(lián)系和合作，就如同合法企業(yè)之間的合作伙伴關系一般。雖然Dridex操縱者花費了大約3周的時間來處理Lurk團隊被捕后引發(fā)的系列問題，但他們最終還是設法恢復了Necurs，這一傳播Dridex銀行木馬和Locky勒索軟件的僵尸網(wǎng)絡。

john[.]bruggink@yahoo[.]co[.]uk這一電子郵件地址并沒有清晰的展現(xiàn)各種不同的惡意軟件之間的關聯(lián)，但是它更像是一個根源。當俄羅斯當局將其公布之后，他們偶然發(fā)現(xiàn)了Angler 和 Lurk團伙之間的關聯(lián)，但并沒有直接發(fā)現(xiàn)與Necurs僵尸網(wǎng)絡的關聯(lián)，只是記錄下了一些相關的服務器。

接下來，留給俄羅斯當局的重任就是鏟除Dridex犯罪網(wǎng)，這一被認為是世上最專業(yè)、組織有序的網(wǎng)絡犯罪網(wǎng)。

關于Dridex

Dridex這個名字是在2014年才慢慢形成的，并且還被認為是Gameover Zeus (GoZ)、Feodo、Cridex、 Bugat等的繼承者，運用多種技術來竊取用戶的私人敏感信息和金融信息，并用于欺詐犯罪。

Dridex的散播方式主要是垃圾郵件，附件是一個偽造Microsoft word文檔。目標銀行主要位于美國、羅馬尼亞、法國、英國等。