Киберзлоумышленники похитили более €500 тысяч


KasperskyLabsСпециалисты Лаборатории Касперского установили, что в Cети действует организованная группа киберпреступников, которая, по их мнению, уже похитила более €500 тыс. со счетов крупного европейского банка. Процесс одной кибермахинации происходил очень быстро, что говорит о серьезной организации киберпреступников.

Впервые следы данных киберпреступников были зафиксированы в январе этого года. Тогда специалистам удалось засечь так называемый "command and control" сервер, который использовался для централизованного управления сетью зараженных компьютеров. В результате детального изучения сервера удалось выяснить, что мошенники используют троянскую программу для похищения денег.

При помощи данного вредоноса злоумышленники всего за неделю обворовали около 200 клиентов банка, которыми преимущественно оказались жители Турции и Италии. Так с каждого счета изымалось от €1,7 до €39 тыс.

Отмывались похищенные деньги через цепочку посредников, снимавших ворованное со специально созданных для этой цели счетов и банкоматов. Например, одна группа лиц отвечала за суммы порядка €40-50 тыс., другая — €15-20 тыс., а третья — не более €2000.

По мнению специалистов Лаборатории Касперского такое разграничение связано с возможным недоверием к некоторым личностям, обналичивающих средства. Т.е., скорее всего, были случаи, когда они скрывались с обналиченными средствами.
Таким образом, была создана, своего рода доверительная схема партнеров.

Саму схему похищения эксперты наименовали Luuuk, по имени папки в котором была размещена панель управления командного сервера.

Пока еще не удалось установить, что это такое: полностью новая программа для взлома или же серьезно модифицированный "троянский конь". Похоже, что все сведения перехватывались автоматически, после того, как жертва начинала работать со своим банковским счетом через интернет. После ввода клиентом данных, они копировались в реальном времени и почти сразу использовались для нелегальных переводов денег.

При изучении командного сервера специалистам не удалось точно установить, использовались ли какие-то конкретные вредоносные программы злоумышленниками, однако множество модификаций трояна Zeus (Citadel, SpyEye, IcelX и другие) обладают подходящим для этого функционалом. По предположению, использованные в данной операции вредоносные программы могут являться вариантом Zeus с поддержкой механизма веб-инъекций.

Спустя два дня после обнаружения этих серверов, киберворы удалили из сети все сведения, указывающие на них, т.е. замели следы.

Хакеры, стоящие за Luuuk крайне активны, меняют тактику и зачищают следы в случае обнаружения. В свою очередь их временное исчезновение может говорить о смене подхода, но только не о прекращении деятельности.


Обновлено (26.06.2014 13:32)