• Поліція і ФСБ за участю експертів Group-IB затримали угруповання ІТ-шахраїв, які викрали гроші з рахунків понад 100 банків. Керівник Group-IB заявляє, що це «одна з найбільш небезпечних атак угруповань з 90-х років».
    Слідчий департамент МВС і компанія Group-IB заявили про ліквідацію групи ІТ-зловмисників, які займалися розкраданням коштів з банківських рахунків.
    Згідно з повідомленням, у результаті спільної операції Управління «» МВС, Четвертого управління МВС і Центру інформаційної безпеки ФСБ були затримані вісім осіб, підозрюваних у крадіжці грошей з більш ніж 100 банків по всьому світу протягом двох років.
    Одночасно Ощадбанк повідомив про причетність затриманого угруповання до 27 розкрадань у клієнтів Ощадбанку грошей загальною сумою більше, ніж 10 млн руб.
    На думку Group-IB, експерти якої були залучені до розслідування, це перший у світовій практиці випадок, коли вдалося встановити всю злочинну ланцюжок від організатора групи до виконавців, зайнятих переведенням у готівку викрадених грошей. Керівник Group-IB Ілля Сачков в розмові з CNews заявив, що це «одна з найбільш небезпечних атак угруповань з 90-х років».
    Згідно з повідомленням правоохоронців, за півроку зловмисниками було викрадено близько 60 млн руб. За оцінкою експертів Group-IB, розмір розкрадань угрупування тільки за останній квартал склав 130 млн руб.
    Представник Group-IB Ірина Зубарєва пояснила різницю в розмірі шкоди тим, що правоохоронні органи будували свій висновок на документованих свідоцтвах, у той час як сума, названа Group-IB, заснована на експертній оцінці своїх криміналістів.
    Group-IB розповідають, що зловмисників вдалося виявити в результаті аналізу троянських програм, серверів управління ботнетами і викрадених даних, що дозволило встановити операторів ботнету.
    Як випливає з повідомлення Слідчого департаменту, для розкрадання грошей з банківських рахунків зловмисники використовували троянські програми Carberp і RDP-door, заражавшие ПК організацій, які використовували для розрахунків різні системи «Банк-Клієнт».
    Для зараження бухгалтерських ПК, повідомляють в Group-IB, використовувався злом і зараження сайтів ЗМІ, магазинів і професійних бухгалтерських ресурсів.
    Гроші з банківських рахунків виводилися за допомогою несанкціонованих платежів на спеціально підготовлені рахунки по команді троянських програм з віддалених серверів в Канаді і Голландії, після чого виводилися на банківські картки і знімалися в московських банкоматах.
    Для прикриття своєї роботи зловмисники використовували легальну компанію, зайняту відновленням даних.
    Поліція й Group-IB не розкривають числа постраждалих, проте повідомляють, що до жовтня 2011 р. ботнет угрупування щодня збільшується приблизно на 30 тис. комп'ютерів.
    Цікаво, що, не розголошуючи назв банків, клієнти яких постраждали від дій зловмисників, Group-IB висловила подяку Ощадбанку «за фінансування робіт, збір і надання необхідної інформації, активну реагування і сприяння роботі з правоохоронними органами».
    Можна згадати, що, представляючи доповідь «Кіберзлочинність в Росії: тенденції та проблеми 2010» (Cybercrime in Russia: Trends and issues), експерти Group-IB порушили тему роботи банківських троянів Carberp і RDP-door. Тоді в числі потерпілих від Carberp банків вони називали Ощадбанк, Укрсиббанк і систему платежів «Кіберплат».
    Роздiл угрупування за рішенням Замоськворецького суду Москви зараз арештований. Його старший брат, участвоваший в роботі групи, відпущений під заставу на суму 3 млн руб., інші зловмисники відпущені під підписку про невиїзд.
    Слідчий відділ Четвертого управління МВС порушив кримінальну справу за ст. 272 («Неправомірний доступ до комп'ютерної інформації»), ст. 273 («Створення, використання та поширення шкідливих програм для ЕОМ») і ст. 158 («Крадіжка») КК РФ, за яким зловмисники можуть отримати покарання до 10 років позбавлення волі.
    «Лабораторії Касперського», куди CNews звернувся з проханням прокоментувати затримання угрупування зловмисників, засумнівалися в унікальності події події.
    В якості прикладів цілком знешкоджених ланцюжків ІТ-шахраїв, експерти «Лабораторії» призводять творців ботнету Bredolab, ліквідованого в Нідерландах в 2010 р. і бразильської мережі Bonnie and Clyde, знищеної в 2011 р.
    Крім того, зауважують в «Касперском», у випадку з нинішнім успіхом вітчизняних правоохоронців навряд чи можна говорити про повністю ліквідованої ланцюжку ІТ-злоумышленнников.
    «Незважаючи на заяви про те, що заарештовані всі учасники злочинної схеми, залишаються відкритими питання про долю цих авторів Carberp, тих хто його програмував і продавав на чорним ринку, а також про власників «партнерських» мереж, які займалися поширенням троянця. Якщо вони залишаються на волі, то незабаром ми можемо побачити нові злочинні групи, які використовують нові модифікації Carberp», - говорить головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв.
    На думку Group-IB, партнерська мережа traffbiz.ru «не має до цієї справи ніякого відношення».