МВД, «Сбербанк» и Group-IB поймали кибермошенников, похитивших в банках 123 млн рублей

5 июня 2012 года

В России была задержаны члены преступной группировки, которая долгое время занималась похищением денег у клиентов российских банков через системы дистанционного банковского обслуживания (ДБО). Злоумышленники лишились свободы благодаря сотрудничеству правоохранительных органов и «Сбербанка РФ», а техническую часть работ взяла на себя компания Group-IB.

Как передает «Интерфакс», деятельность преступной группы осуществляли 6 человек, которые заражали компьютеры жертв вредоносной программами. В начале своей преступной деятельности мошенники использовали вредоносную программу Hodprot, а уже в 2011 году перешли на более продвинутую - Carberp.

Для управления инфицированными ПК мошенники использовали серверы управления, которые располагались за пределами РФ (в Нидерландах, Германии, Франции и США).

Операция по задержанию преступников проводилась при участии криминалистов Group-IB одновременно в разных регионах Российской Федерации. Потерпевшими по делу могут быть признаны компании из Москвы, Санкт-Петербурга, Сургута, Калининграда, Перми, Омска и Астрахани.

Известно, что задержанные злоумышленники причастны к четырем случаям хищения 13 млн рублей у клиентов Московского отделения «Сбербанка». Помимо этого, мошенникам также удалось незаконно завладеть 110 млн рублей, которые были похищены у клиентов других коммерческих банков.

По словам гендиректора Group-IB Ильи Сачкова, его компания обеспечила сбор доказательной базы: идентифицировала злоумышленников, выяснила их роли и связи внутри группы. «Последующие экспертизы нашей лаборатории подтвердили причастность данных мошенников к конкретным случаям хищений денежных средств», - добавил он. Анализом вредоносных программ занимался входящий в ту же группу компаний центр вирусных исследований Eset.

Группу Hodprot Сачков называет одной из двух крупнейших организаций подобного профиля. Задержание участников первой группы произошло несколько месяцев назад в марте 2012 года.

Теперь, по его словам, в России остается еще четыре подобные группировки, использующих Carberp. Сачков также добавил, что это не означает, что Carberp больше не будет использоваться киберпреступниками, так как существуют мелкие игроки, которые используют это ПО.

Эксперты различают банды киберпреступников между собой по индивидуальным признакам, в том числе по типу вредоносного ПО, которое они использовали, и по методам заражения.

«Среди оставшихся групп используются вредоносные программы Shiz и SpyEye. Сейчас ведутся работы по сбору доказательств их преступлений и поиску предполагаемых участников», - добавил эксперт.

По данным Group-IB, которые приводит РИА «Новости», в 2011 году российским хакерам удалось похитить около 2,3 миллиарда долларов, что на миллиард долларов больше, чем в предыдущем году. По словам начальника управления информационной безопасности ОАО «Россельхозбанк» Артема Сычева, ежедневно в РФ фиксируется 15-20 попыток хищения денег из систем ДБО. При этом в среднем хакеры пытаются похитить около 400 тысяч рублей за один раз.

Carberp - распространенная среди киберпреступников вредоносная программа. Она собирает информацию о пользователе и системе и отправляет на сервер злоумышленников. Также бот может делать снимки экрана, перехватывать нажатия клавиш, содержимое буфера обмена и отправлять на сервер. Троянец имеет возможность самоудаления и установки дополнительных вредоносных модулей, крадет цифровые сертификаты для популярных систем дистанционного банковского обслуживания. Иными словами, программа практически идеально подходит для атак на системы ДБО.