Ликвидирована одна из крупнейших банковских бот-сетей

Дата публикации: 25 июня 2012

Ликвидирована одна из крупнейших банковских бот-сетей

Group-IB сообщает об оказании содействия ЦИБ ФСБ в расследовании, результатом которого стало задержание организатора преступной группы кибермошенников. Более трех лет группа занималась хищением денежных средств через системы интернет-банкинга. Специалистами Group-IB выявлена одна из крупнейших бот-сетей, построенная на вредоносной программе Carberp, которую использовали мошенники. Особенность данной версии программы — возможность похищать «Ваучеры» у иностранных пользователей социальной сети Facebook.

Преступная группа действовала с 2009 года и была создана человеком, известным в сети под псевдонимами Гермес и Араши. Используя вредоносную программу Hodprot, организатор создал многомиллионную банковскую бот-сеть, ставшую известной в хакерских кругах под названием Оригами. Она просуществовала до середины 2011 года, а затем переродилась в другую, более совершенную, построенную на вредоносной программе Carberp.

Панель управления бот-сетью Оригами показана на рисунке ниже.

Злоумышленники первыми начали использовать вредоносную программу RDPdoor как вспомогательное средство для совершения хищений непосредственно с компьютера жертвы. Панель управления для нее Гермес разрабатывал сам. Она выглядит следующим образом.

Для работы с бот-сетью Гермес привлек большое количество людей, что стало похожим на реализацию некой «партнерской программы». Только штат программистов, работающих на организатора, насчитывал 9 человек, большинство из которых — жители Украины. За время существования преступной группы количество ее участников достигало 25 человек, не считая лиц, занимавшихся обналичиванием похищенных денег. Состав участников постоянно менялся.

Мошенники первыми стали использовать версию Carberp с буткитом, который делал этого трояна практически неуязвимым для средств антивирусной защиты. В мае 2012 года тестовый сервер с данной версией насчитывал 1,2 млн. компьютеров.

В 2012 г. для повышения уровня заражения компьютеров пользователей злоумышленники переключились с связки эксплойтов BlackHole на Nuclear Pack.Если в октябре 2011 года на основном сервере управления бот-сетью было зарегистрировано около 700 тысяч зараженных компьютеров, то спустя полтора месяца эта цифра удвоилась, а к маю 2012 года составила 6 миллионов. При этом количество фактически действующих зараженных компьютеров насчитывало около 60-70 тысяч.

Специалисты Group-IB установили, что кибермошенники заработали свыше 150 млн. рублей, однако реальная сумма похищенных денег больше в десятки раз. Среди пострадавших — клиенты как российских, так и иностранных банков. Для удобства работы с разными типами финансовых систем в разных странах, злоумышленники использовали отдельные серверы управления бот-сетью.

«По мере увеличения состава преступной группы организатор стал выполнять координационные функции, что сильно осложняло сбор доказательной базы в отношении него, — говорит Илья Сачков, генеральный директор Group-IB. — Более 16 месяцев потребовалось экспертам Group-IB для сбора доказательств. Специалисты нашей компании провели ряд криминалистических экспертиз, исследований серверов управления бот-сетью, осуществили анализ вредоносных программ».

Организатор преступной группы задержан в г. Краснодаре. Его задержание стало продолжением серии арестов, проводимых полицейскими УЭБиПК. С подробностями можно ознакомиться по ссылке http://www.group-ib.ru/list/176-news/?view=article&id=711.

О Group-IB
Организованная в 2003 году международная компания Group-IB — лидер российского рынка в области расследования компьютерных преступлений — оказывает полный комплекс услуг по расследованию компьютерных преступлений, начиная от оперативного реагирования на инцидент и заканчивая постинцидентным консалтингом. В составе компании работает Лаборатория компьютерной криминалистики и исследования вредоносного кода, оказывающая услуги независимой компьютерной экспертизы, в том числе и правоохранительным органам России. На базе Group-IB осуществляет свою деятельность CERT-GIB, круглосуточный центр быстрого реагирования на инциденты информационной безопасности. Входит в LETA Group.

За дополнительной информацией обращайтесь:
Ирина Зубарева
PR-менеджер Group-IB
Тел.: +7 (910) 468-58-72
E-mail: zubareva@group-ib.ru