Полиция и ФСБ при участии экспертов Group-IB задержали группировку ИТ-мошенников, похитивших деньги со счетов более 100 банков. В Group-IB говорят, что это первый в мировой практике случай, когда удалось задержать всю преступную цепочку от организатора до исполнителей, занятых обналичкой.
Следственный департамент МВД и компания Group-IB заявили о ликвидации группы ИТ-злоумышленников, занимавшихся хищением средств с банковских счетов.
Согласно сообщениям, в результате совместной операции Управления «К» МВД, Четвертого управления МВД и Центра информационной безопасности ФСБ были задержаны 8 человек, подозреваемые в краже денег более чем из 100 банков по всему миру на протяжении 2 лет.
По мнению Group-IB, эксперты которой были привлечены к расследованию, это первый в мировой практике случай, когда удалось установить всю преступную цепочку от организатора группы до исполнителей, занятых обналичиванием похищенных денег.
Согласно сообщению правоохранителей, за полгода злоумышленниками было похищено около 60 млн руб. По оценке экспертов Group-IB, размер хищений группировки только за последний квартал составил 130 млн рублей.
Представитель Group-IB Ирина Зубарева объяснила разницу в размере ущерба тем, что правоохранительные органы строили свой вывод на документированных свидетельствах, в то время как сумма, названная Group-IB, основана на экспертной оценке своих криминалистов.
В Group-IB рассказывают, что злоумышленников удалось обнаружить в результате анализа троянских программ, серверов управления ботнетами и похищенных данных, что позволило установить операторов ботнета.
Как следует из сообщения Следственного департамента, для хищения денег с банковских счетов злоумышленники использовали троянские программы Carberp и RDP-door, заражавшие ПК организаций, использовавших для расчетов различные системы «Банк-Клиент».
Для заражения бухгалтерских ПК, сообщают в Group-IB, использовался взлом и заражение сайтов СМИ, магазинов и профессиональных бухгалтерских ресурсов.
Деньги с банковских счетов выводились посредством несанкционированных платежей на специально подготовленные счета по команде троянским программам с удаленных серверов в Канаде и Голландии, после чего выводились на банковские карты и обналичивались в московских банкоматах.
Для прикрытия своей работы злоумышленники использовали легальную компанию, занятую восстановлением данных.
Полиция и Group-IB не раскрывают числа пострадавших, однако сообщают, что к октябрю 2011 г. ботнет группировки ежедневно увеличивался примерно на 30 тыс. компьютеров.
Интересно, что, не разглашая названий банков, клиенты которых пострадали от действий злоумышленников, Group-IB выразила благодарность Сбербанку «за финансирование работ, сбор и предоставление необходимой информации, активное реагирование и содействие в работе с правоохранительными органами».
Можно вспомнить, что, представляя доклад «Киберпреступность в России: тенденции и проблемы 2010» (Cybercrime in Russia: Trends and issues), эксперты Group-IB затронули тему работы банковских троянцев Carberp и RDP-door. Тогда в числе пострадавших банков они называли Сбербанк, Укрсиббанк и систему платежей «Киберплат».
В «Лаборатории Касперского», куда CNews обратился с просьбой прокомментировать задержание группировки злоумышленников, усомнились в уникальности произошедшего события.
В качестве примеров целиком обезвреженных цепочек ИТ-мошенников, эксперты «Лаборатории» приводят создателей ботнета Bredolab, ликвидированного в Нидерландах в 2010 г. и бразильской сети Bonnie and Clyde, уничтоженной в 2011 г.
Кроме того, замечают в «Касперском», в случае с нынешним успехом отечественных правоохранителей вряд ли можно говорить о полностью ликвидированной цепочке ИТ-злоумышленнников.
«Несмотря на заявления о том, что арестованы все участники преступной схемы, остаются открытыми вопросы о судьбе настоящих авторов Carberp, тех кто его программировал и продавал на черным рынке, а также о владельцах «партнерских» сетей, которые занимались распространением троянца. Если они остаются на свободе, то в скором времени мы можем увидеть новые преступные группы, использующие новые модификации Carberp», - говорит главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
По мнению Group-IB, партнерская сеть traffbiz.ru «не имеет к этому делу никакого отношения».