В Польше арестована хакерская супер-группировка

[Leprik0N]

Сотрудники правоохранительных органов Польши арестовали четверых предполагаемых участников хакерской супер-группировки, активно занимающейся различной киберпреступной деятельностью. На счету у группировки атаки вымогательского ПО, распространение вредоносных программ, SIM-свопинг, банковское мошенничество, администрирование поддельных online-магазинов и даже вымогательство с угрозами взрыва. Четверо подозреваемых были арестованы на этой неделе, а в отношении еще четверых ведутся следственные действия.

Расследование деятельности киберпреступной группировки началось в мае 2019 года, когда некто Лукаш К. нанял через интернет хакеров с целью подставить своего конкурента по бизнесу. Злоумышленники осуществили спуфинг электронного адреса бизнесмена и от его имени отправили администрации одной из школ города Лечица письмо с угрозой взорвать здание, если не будет уплачен выкуп. В результате конкурент был арестован и два дня провел под стражей, пока полиция не выяснила, что произошло.

После выхода из-под стражи бизнесмен нанял частного детектива с целью выяснить, кто его подставил. Когда киберпреступники поняли, что за ними следят, они взломали одного из польских операторов связи и подделали накладные на тысячи злотых якобы на имя бизнесмена и частного детектива.

Один их самых громких случаев произошел 26-27 июня 2019 года, когда киберпреступники отправили угрозы взрыва 1066 детским садам. В результате было эвакуировано 10536 человек из 275 детсадов по всей Польше.

Помимо прочего, группировка осуществляла атаки с использованием вымогательского и вредоносного ПО, такого как Cerberus, Anubis, Danabot, Netwire, Emotet и njRAT. Количество жертв исчисляется тысячами.

С зараженных устройства хакеры похищали персональные данные, с помощью которых переводили деньги с банковских счетов. В случае использования банком нескольких механизмов аутентификации злоумышленники брали похищенную у жертв информацию и заказывали в даркнете поддельные удостоверения личности. С их помощью они обманывали мобильных операторов, заставляя их «привязать» учетную запись жертвы к новой SIM-карте (техника, известная как SIM-свопинг).

По данным польских СМИ, с помощью этой техники группировка похитила 199 000, 220 000 и 243 000 злотых в трех отдельных инцидентах. Хакеры также пытались украсть у одной из жертв 7,9 миллиона злотых, но взлом был остановлен, когда сотрудники банка позвонили жертве, чтобы подтвердить транзакцию.

 

[Leprik0N]

Польские правоохранители сообщили о ликвидации хакерской группы, которая занималась самыми разными формами незаконной деятельности: вымогательскими атаками, распространением малвари, банковским мошенничеством, подменой SIM-карт, фальшивыми интернет-магазинами и даже фиктивными сообщениями о минировании зданий по просьбе клиентов.

В настоящее время были арестованы четверо подозреваемых:

Камил С., также известный под псевдонимом Razzputin, участник многих русскоязычных хакерских форумов, включая Exploit и C***lka;
Павел К., известный под псевдонимом Manster_Team, в основном причастный к банковским преступлениям;
Януш К., причастный к большинству преступлений группы;
Лукаш К., судя по всему, заметная фигура в преступном мире.

Еще четверо подозреваемых находятся под следствием, в судебных документах они фигурируют как Матеуш С., Радослав С., Иоанна С. и Беата П.

По информации польских СМИ, правоохранительные органы заинтересовались активностью этой хак-группы еще летом 2019 года, когда злоумышленники впервые сообщили об угрозе взрыва бомбы в школе города Ленчица. Следователи утверждают, что человек по имени Лукаш К. нашел и нанял в интернете хакеров, которые за плату согласились отправть в школу сообщение об угрозе взрыва, причем электронное письмо выглядело таким образом, будто его написал конкурирующий бизнес-партнер учебного заведения.

В итоге мужчина, чья личность была подделана и использована в письме хакеров, был арестован и провел два дня в за решеткой, прежде чем полиция разобралась в произошедшем. Когда бизнесмена выпустили на свободу, он нанял частного детектива, чтобы тот выследил настоящих виновников случившегося, написавших фальшивое письмо о заложенной бомбе.

По данным следователей, когда хакеры поняли, что происходит, они взломали польского оператора мобильной связи и в отместку выставили счета в размере нескольких тысяч злотых как на имя детектива, так и на имя самого бизнесмена.

Но лишь одной угрозой о якобы заложенной в школе бомбе хакеры не ограничились. Дело в том, что с этой хак-группой связывают и другие фиктивные сообщения об угрозах взрывов, в том числе на Западном железнодорожном вокзале в Варшаве. Впрочем, самый громкий инцидент имел место 26 и 27 июня 2019 года, когда их хакеров наняли для рассылки угроз о подрыве взрывных устройств в 1066 детских садах по всей Польше. Как сообщал польский телеканал TVN24, тогда эвакуация затронула 10 536 человек в 275 детских садах по всей стране.

Правоохранители сообщают, что за каждую фальшивую угрозу такого рода хакеры простили оплату в размере 5000 злотых (около 99 000 рублей).

Как уже было сказано выше, рассылка таких сообщений была далеко не единственным источником дохода группы. Хотя изначально внимание правоохранителей привлекли именно сообщения о заложенных бомбах, вскоре расследование выявило, что за злоумышленниками тянется длинный шлейф других преступлений.

Как оказалось, чаще всего группировка занималась распространением малвари через фишинговые письма. Польский новостной сайт Otopress сообщает, что хакеры были связаны как минимум с 87 различными доменами, которые использовались для распространения вредоносов. Известно, что это была малварь для Windows и Android, включая такие известные угрозы, как Cerberus, Anubis, Danabot, Netwire, Emotet и njRAT. По данным властей, общее количество жертв группы исчисляется тысячами.

У зараженных различной малварью пользователей хакеры похищали личные данные, которые затем использовались для хищения денег из банков со слабыми системами безопасности. Однако даже если в банке работали механизмы многофакторной аутентификации, хакеры не терялись. В таких случаях они использовали украденную у людей информацию, чтобы заказать поддельные документы в даркнете, а затем с их помощью обманывали сотрудников мобильных операторов и заказывали перевыпуск SIM-карт жертв (такие атаки обычно называют SIM swap).

К примеру, выдавая себя за настоящего владельца номера, мошенник заявляет, что потерял или сломал SIM-карту и добивается переноса номера на новую. Затем он ворует привязанные к номеру телефона учетные записи, фактически похищая чужие личности полностью. Исторически такие атаки часто используются для кражи крупных сумм в криптовалюте, с банковских счетов (ведь перехват кодов 2ФА становится совсем несложным) и даже для угона дорогих Instagram-аккаунтов. Также стоит сказать, что именно таким способом в прошлом году взломали Twitter главы Twitter и едва не скомпрометировали криптовалютную платформу BlockFi.

Польские СМИ сообщают, что с помощью подмены SIM-карт хак-группа смогла похитить 199 000, 220 000 и 243 000 злотых (около 4 000 0000, 4 300 000 и 4 800 000 рублей) в трех отдельных инцидентах. Более того, в другом случае злоумышленники нацелились на кражу 7 900 000 злотых (155 670 000 рублей) у одного человека, но сотрудники банка заподозрили подвох и позвонили на номер телефона жертвы для подтверждения транзакции. Так как SIM-карту уже подменили, звонок в итоге поступил хакерам, и служащий банка не узнал голос постоянного клиента, хорошо знакомый ему из предыдущих разговоров, что привело к блокировке транзакции.

В дополнение к перечисленному группировка занималась еще одним видом «бизнеса»: хакеры создали около 50 фейковых интернет-магазинов, в которых продавались несуществующие товары. Таким образом злоумышленникам удалось обмануть более 10 000 покупателей.

 

[MakFloor]

хорошо поработали, теперь долго отдыхать будут. только не на свободе