Скрыть объявление
Для безопасных сделок с продавцами рекомендуем пользоваться Гарант сервисом

Ликвидация "Хак-группы" создавшей молварь Cron и PonyForx.

Тема в разделе "Новости СМИ", создана пользователем Crypr91, 24/5/17.

  1. Crypr91

    Crypr91 Очень активный ползователь

    Сообщения:
    180
    Симпатии:
    0
    Представители Управления «К» МВД России и сотрудники компании Group-IB, помогавшие правоохранительным органам в расследовании, рассказали о проведении масштабной операции, целью которой было прекращение работы крупной хакерской группировки Cron. Именно эта группа разработала банковский троян Cron для Android и инфостилер PonyForx для Windows систем.

    Как оказалось, еще 22 ноября 2016 года в шести регионах России была проведена масштабная операция: задержаны 16 участников группы Cron, в состав которой входило двадцать человек. Последний активный участник группы был задержан в начале апреля 2017 года в Санкт-Петербурге.


    Официальное сообщение МВД гласит:
    «В ходе поведения оперативно-розыскных мероприятий было установлено, что в состав группы входит 20 человек, проживающих на территории Ивановской, Московской, Ростовской, Челябинской, Ярославской областей и Республики Марий Эл, а организатором незаконного бизнеса является 30-летний житель г. Иваново.

    Участники группы были задержаны. В отношении 4 задержанных судом избрана мера пресечения в виде заключения под стражу, в отношении остальных – подписка о невыезде. На территории 6 регионов России проведено 20 обысков, в ходе которых изъята компьютерная техника, сотни банковских карт и сим-карт, оформленных на подставных лиц.

    За время противоправной деятельности злоумышленники заразили троянской программой более миллиона смартфонов, а ущерб от их деятельности превысил 50 миллионов рублей».


    Более подробно о деятельности Cron поведали специалисты Group-IB в официальном блоге. Так, малварь Cron впервые попала в поле зрения экспертов еще в 2015 году, когда на хакерских форумах начали распространять Android-вредоносы viber.apk, Google-Play.apk и Google_Play.apk, и малварь Cron атаковала пользователей крупных российских банков из ТОП-50.

    Аналитики компании отмечают, что организаторы группировки ранее уже были судимы за различные преступления:
    «Криминалитет все больше привлекают преступления в сфере высоких технологий — это очень большие и сравнительно «легкие» деньги: однажды Group-IB следили за хакером, который на кражах в интернет-банкинге зарабатывал до 20 млн долларов в месяц».

    Банковский троян группировки работал по давно проверенной и отработанной киберкриминалом схеме. Cron распространялся двумя способами: с помощью SMS-рассылок, когда жертва получала сообщение с текстом вроде: «Ваше объявление опубликовано на сайте ….» или «Ваши фотографии размещены здесь…». После перехода по указанной ссылке пользователя обманом вынуждали установить вредоносное приложение. Второй способ также совсем не нов: Cron маскировался под легитимные приложения Navitel, Framaroot, Pornhub, Avito и так далее.

    Попадая на телефон жертвы, троян мог автоматически переводить деньги с банковского счета пользователя на счета, подконтрольные злоумышленникам (для чего те открыли более 6 000 счетов). Заразив устройство, троян помещался в автозагрузку устройства и мог отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные серверы, а также скрывать поступающие по SMS уведомления от банка. Таким образом, меньше чем за год Cron удалось заразить более миллиона мобильных устройств. В среднем злоумышленники успешно атаковали 3 500 устройств в день.

    В 2016 году специалисты заметили, что на одном из хакерских форумов появилось объявление о сдаче в аренду мобильного трояна под названием cronbot (см. иллюстрацию ниже). В описании говорилось, что малварь обладает функциональными возможностями по перехвату SMS-сообщений, звонков, осуществлению отправки USSD-запросов, инжектов. Тогда сотрудники Group-IB предположили, что преступная группа решила найти еще одного человека в команду, так как, по словам автора объявления, троян сдавался только в одни руки. К тому времени в группу Cron, помимо организаторов, входили партнеры-заливщики, крипторы, трафферы и обнальщики.
    [​IMG]
    Объявление о сдаче в аренду cronbot


    Заработав денег в России, участники Cron приняли решение расширяться. Так, в июне 2016 года группировка арендовала банковский троян Tiny.z, заплатив за аренду $2000 в месяц. Tiny.z — это более универсальный банковский вредонос, который нацелен не только на клиентов российских банков, но также на зарубежные финансовые организации.[​IMG]
    [​IMG]


    Изучив панель управления ботнетом (на иллюстрациях выше), исследователи пришли к выводу, что это та же самая панель, которую ранее использовала группа 404, воровавшая деньги у клиентов российских банков. Тогда специалисты предположили, что после задержания в 2015 году в Нижнем Новгороде участника группы 404, известного под псевдонимом Foxxx, злоумышленники переписали вредоносную программу. Дело в том, что Tiny.z адаптировали для атак на банки Великобритании, Германии, Франции, США, Турции, Сингапура, Австралии и других стран. Троян искал на устройстве жертвы банковское приложение и выводил универсальное окно для ввода персональных данных, в которое подставлял иконку и название банка, взятые из Google Play.

    Используя Tiny.z , группировка Cron выбрала в качестве основной цели банки Франции. Для этого хакеры разработали специальные инжекты для банков Credit Agricole, Assurance Banque, Banque Populaire, BNP Paribas, Boursorama, Caisse d’Epargne, Societe Generale and LCL.

    К ноябрю 2016 года Управление «К» БСТМ России, отдел К БСТМ УМВД России по Ивановской области и Следственная часть следственного управления по Ивановской области, при участии Group-IB, смогли установить личности 20 членов группы и собрать все необходимые цифровые доказательства совершенных преступлений. Тогда и был дан старт масштабной операции, призванной прекратить деятельность группы.
    [​IMG]
     
  2. ava12345

    ava12345 Очень активный ползователь

    Сообщения:
    230
    Симпатии:
    0
    Вот что значит работать по ру.
    Интересно на чем погорели
     

Поделиться этой страницей