Круглосуточная линия+7 495 984-33-64Электронная почтаАдрес офисаМосква, 115088, Шарикоподшипниковская, 1, БЦ «Прогресс Плаза», 9 этаж
Сообщить об инциденте

14 марта 2019

Задержан администратор ботсетей, состоявших из 50 000 зараженных компьютеров

Сотрудники МВД при участии экспертов Group-IB, международной компании, специализирующейся на предотвращении кибератак, задержали в Новокузнецке (Кемеровская область) администратора ботсетей, насчитывающих несколько тысяч зараженных компьютеров российских и зарубежных пользователей. Задержанный был «наемником», он предлагал киберкриминальным группам услуги по модели cybercrime-as-a-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи — логины и пароли, сохраненные в почтовых клиентах и браузерах, для последующей продажи на подпольных форумах. В настоящее время следствие выясняет, с какими из действующих преступных групп был связан задержанный.

Расследование началось с масштабного инцидента весной 2018 года, когда c помощью трояна Pony Formgrabber, предназначенного для кражи учетных записей, новокузнецким хакером были заражены около 1 000 персональных компьютеров жителей России и других стран, благодаря чему он получил доступ к их почтовым ящикам и переписке. Эта ботсеть просуществовала почти год — с осени 2017 года до августа 2018 года, все это время собирая с зараженных машин персональные данные и учетные записи.

По версии следствия, задержанный предлагал на даркнет-форумах свои услуги администратора и периодически получал заказы от киберпреступников для настройки серверов управления ботсетями. Принадлежность его к конкретной хакерской группе и «подработка» на другие группы не исключаются.

Услуги cybercrime-as-a-service пользуются повышенным спросом как у финансово мотивированных хакеров, так и прогосударственных APT-группировок. Причем часто бывает, что „наемники“, технический персонал — разработчики вредоносных программ, администраторы серверов и ботсетей, создатели фишинговых сайтов-клонов, трафферы, нагоняющие пользователей на сайт с вредоносной программой — могут не знать, на кого конкретно они работают, но, как правило, у них есть ряд работодателей, которые периодически привлекают их для перенастройки инфраструктруктуры в связи с обновлениями используемых вредоносных программ и с целью обхода средств защиты.

Сергей Лупанин

Сергей Лупанин

Руководитель отдела расследований Group-IB

 

Бросить «крысу» по заказу

Расследование вывело экспертов Group-IB на 25-летнего безработного жителя Новокузнецка. С 15 лет он не только подрабатывал разработкой web-сайтов для компьютерных игр, но и был завсегдатаем хакерских форумов. Здесь же, набравшись опыта, получил первые заказы на создание и обслуживание административных панелей (далее — админка) для управления вредоносными программами. Позже начал продавать готовые админки. За настройку одной админки, по словам задержанного, он получал в среднем от 1000 до 5 000 рублей — деньги ему переводили в криптовалюте. Задержанный специализировался на троянах класса RAT (Remote Access Toolkit), которые позволяли получить полный доступ к зараженному компьютеру — Pony, SmokeBot, BetaBot, Novobot, njRAT, Neutrino, DiamondFox, Tresure Hunter RAMScraper (для POS-терминалов) и др. На жаргоне киберпреступников заразить машину трояном RAT значит «бросить крысу».

 

Хозяин зомби-сети из Новокузнецка 

В ходе оперативно-разыскных мероприятий на ноутбуке задержанного было обнаружено несколько десятков панелей вредоносных программ, предназначенных для управления ботсетями, которыми он руководил только за последние три месяца. Таким образом, по минимальным оценкам, задержанный мог администрировать ботсети, объединяющие не менее 50 000 инфицированных компьютеров.

«Когда я настраивал такие серверы, я понимал, что они могут использоваться для несанкционированного доступа к компьютерам других людей для копирования персональных данных», — признался задержанный. Кому хакер продавал эту информацию он не знает: «Люди, которые откликались на мои объявления на хакерских форумах, имели только псевдонимы». Эксперты Group-IB не исключают, что украденные данные, которые задержанный продавал на форумах, киберпреступники могли использовать для рассылки спама, заражения вредоносными программами, различного рода мошенничества или кражи денег.

Кроме того, задержанный внимательно следил за спросом на андеграундных площадках: поскольку в последние годы мобильные трояны вытесняют трояны для персональных компьютеров, злоумышленник начал тестировать вредоносные программы под ОС Android, например, мобильный троян LokiBot. В настоящее время задержанному предъявлено обвинение по ч. 1 ст 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ ), он полностью признал вину. Ведется следствие.

Троян Pony Formgrabber уже давно стоит «на вооружении» злоумышленников. Используя его, преступная группа Toplel, атаковала клиентов российских банков в 2014-2015 годах и в 2017 году. Согласно недавнему исследованию Group-IB, с помощью шпионских вредоносных программ, в том числе Pony Formgrabber, злоумышленники скомпрометировали 40 000 учетных записей пользователей крупнейших государственных ресурсов в 30 странах мира. Компрометация данных госслужащих, дипломатов, сотрудников силовых структур несет серьезные риски, так как в результате может быть разглашена государственная тайна.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 15-летний опыт расследования киберпреступлений по всему миру и более 55 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте