Group-IB: в Новокузнецке задержан администратор ботсетей из 50 тыс. зараженных компьютеров

Сотрудники МВД задержали в Новокузнецке Кемеровской области администратора ботсетей, насчитывающих несколько десятков тысяч зараженных компьютеров российских и зарубежных пользователей. Об этом сообщает специализирующаяся на предотвращении кибератак международная компания Group-IB, эксперты которой участвовали в операции.

Задержанный был «наемником», он предлагал киберкриминальным группам услуги по модели cybercrime-as-a-service: на арендованных серверах разворачивал, тестировал и обслуживал административные панели троянов, а также сам похищал учетные записи — логины и пароли почтовых клиентов и браузеров для последующей продажи на подпольных форумах. В настоящее время следствие выясняет, с какими из действующих преступных групп был связан задержанный.

Расследование началось с масштабного инцидента весной 2018 года, когда c помощью трояна Pony Formgrabber, предназначенного для кражи учетных записей, хакером из Новокузнецка были заражены около 1 тыс. персональных компьютеров жителей России и других стран, благодаря чему он получил доступ к их почтовым ящикам и переписке. Эта ботсеть просуществовала почти год — с осени 2017-го до августа 2018-го.

По версии следствия, задержанный предлагал на даркнет-форумах свои услуги администратора и периодически получал заказы от киберпреступников для настройки серверов управления ботсетями. Принадлежность его к конкретной хакерской группе и «подработка» на другие группы не исключаются.

Расследование вывело экспертов Group-IB на 25-летнего безработного жителя Новокузнецка, который с 15 лет подрабатывал созданием веб-сайтов для компьютерных игр, а также был завсегдатаем хакерских форумов. Здесь же он получил первые заказы на создание и обслуживание административных панелей для управления вредоносными программами. Позже хакер начал продавать готовые админки. За настройку одной админки, по словам задержанного, он получал в среднем от 1 тыс. до 5 тыс. рублей; деньги ему переводили в криптовалюте. Задержанный специализировался на троянах класса RAT (Remote Access Toolkit), которые позволяли получить полный доступ к зараженному компьютеру, — Pony, SmokeBot, BetaBot, Novobot, njRAT, Neutrino, DiamondFox, Treasure Hunter RAMScraper (для POS-терминалов) и др. На жаргоне киберпреступников заразить машину трояном RAT значит «бросить крысу», уточняют в Group-IB.

В ходе оперативно-разыскных мероприятий на ноутбуке задержанного было обнаружено несколько десятков панелей вредоносных программ, предназначенных для управления ботсетями, которыми он руководил только за последние три месяца. По минимальным оценкам, задержанный мог администрировать ботсети, объединяющие не менее 50 тыс. инфицированных компьютеров.

Кому хакер продавал информацию с зараженных компьютеров, он не знает: заказчики с хакерских форумов имели только псевдонимы. Эксперты Group-IB не исключают, что украденные данные, которые задержанный продавал на форумах, киберпреступники могли использовать для рассылки спама, вирусов, осуществления мошенничества или кражи денег.

Кроме того, поскольку в последние годы мобильные трояны вытесняют трояны для персональных компьютеров, злоумышленник начал тестировать вредоносные программы под операционную систему Android, например мобильный троян LokiBot.

В настоящее время задержанному предъявлено обвинение по части 1 статьи 273 Уголовного кодекса РФ — в создании, использовании и распространении вредоносных компьютерных программ. Он полностью признал вину. Ведется следствие.

Источник: banki.ru