Польские правоохранители сообщили о ликвидации хакерской группы, которая занималась самыми разными формами незаконной деятельности: вымогательскими атаками, распространением малвари, банковским мошенничеством, подменой SIM-карт, фальшивыми интернет-магазинами и даже фиктивными сообщениями о минировании зданий по просьбе клиентов.
В настоящее время были арестованы четверо подозреваемых:
- Камил С., также известный под псевдонимом Razzputin, участник многих русскоязычных хакерских форумов, включая Exploit и Cebulka;
- Павел К., известный под псевдонимом Manster_Team, в основном причастный к банковским преступлениям;
- Януш К., причастный к большинству преступлений группы;
- Лукаш К., судя по всему, заметная фигура в преступном мире.
Еще четверо подозреваемых находятся под следствием, в судебных документах они фигурируют как Матеуш С., Радослав С., Иоанна С. и Беата П.
По информации польских СМИ, правоохранительные органы заинтересовались активностью этой хак-группы еще летом 2019 года, когда злоумышленники впервые сообщили об угрозе взрыва бомбы в школе города Ленчица. Следователи утверждают, что человек по имени Лукаш К. нашел и нанял в интернете хакеров, которые за плату согласились отправть в школу сообщение об угрозе взрыва, причем электронное письмо выглядело таким образом, будто его написал конкурирующий бизнес-партнер учебного заведения.
В итоге мужчина, чья личность была подделана и использована в письме хакеров, был арестован и провел два дня в за решеткой, прежде чем полиция разобралась в произошедшем. Когда бизнесмена выпустили на свободу, он нанял частного детектива, чтобы тот выследил настоящих виновников случившегося, написавших фальшивое письмо о заложенной бомбе.
По данным следователей, когда хакеры поняли, что происходит, они взломали польского оператора мобильной связи и в отместку выставили счета в размере нескольких тысяч злотых как на имя детектива, так и на имя самого бизнесмена.
Но лишь одной угрозой о якобы заложенной в школе бомбе хакеры не ограничились. Дело в том, что с этой хак-группой связывают и другие фиктивные сообщения об угрозах взрывов, в том числе на Западном железнодорожном вокзале в Варшаве. Впрочем, самый громкий инцидент имел место 26 и 27 июня 2019 года, когда их хакеров наняли для рассылки угроз о подрыве взрывных устройств в 1066 детских садах по всей Польше. Как сообщал польский телеканал TVN24, тогда эвакуация затронула 10 536 человек в 275 детских садах по всей стране.
Правоохранители сообщают, что за каждую фальшивую угрозу такого рода хакеры простили оплату в размере 5000 злотых (около 99 000 рублей).
Как уже было сказано выше, рассылка таких сообщений была далеко не единственным источником дохода группы. Хотя изначально внимание правоохранителей привлекли именно сообщения о заложенных бомбах, вскоре расследование выявило, что за злоумышленниками тянется длинный шлейф других преступлений.
Как оказалось, чаще всего группировка занималась распространением малвари через фишинговые письма. Польский новостной сайт Otopress сообщает, что хакеры были связаны как минимум с 87 различными доменами, которые использовались для распространения вредоносов. Известно, что это была малварь для Windows и Android, включая такие известные угрозы, как Cerberus, Anubis, Danabot, Netwire, Emotet и njRAT. По данным властей, общее количество жертв группы исчисляется тысячами.
У зараженных различной малварью пользователей хакеры похищали личные данные, которые затем использовались для хищения денег из банков со слабыми системами безопасности. Однако даже если в банке работали механизмы многофакторной аутентификации, хакеры не терялись. В таких случаях они использовали украденную у людей информацию, чтобы заказать поддельные документы в даркнете, а затем с их помощью обманывали сотрудников мобильных операторов и заказывали перевыпуск SIM-карт жертв (такие атаки обычно называют SIM swap).
К примеру, выдавая себя за настоящего владельца номера, мошенник заявляет, что потерял или сломал SIM-карту и добивается переноса номера на новую. Затем он ворует привязанные к номеру телефона учетные записи, фактически похищая чужие личности полностью. Исторически такие атаки часто используются для кражи крупных сумм в криптовалюте, с банковских счетов (ведь перехват кодов 2ФА становится совсем несложным) и даже для угона дорогих Instagram-аккаунтов. Также стоит сказать, что именно таким способом в прошлом году взломали Twitter главы Twitter и едва не скомпрометировали криптовалютную платформу BlockFi.
Польские СМИ сообщают, что с помощью подмены SIM-карт хак-группа смогла похитить 199 000, 220 000 и 243 000 злотых (около 4 000 0000, 4 300 000 и 4 800 000 рублей) в трех отдельных инцидентах. Более того, в другом случае злоумышленники нацелились на кражу 7 900 000 злотых (155 670 000 рублей) у одного человека, но сотрудники банка заподозрили подвох и позвонили на номер телефона жертвы для подтверждения транзакции. Так как SIM-карту уже подменили, звонок в итоге поступил хакерам, и служащий банка не узнал голос постоянного клиента, хорошо знакомый ему из предыдущих разговоров, что привело к блокировке транзакции.
В дополнение к перечисленному группировка занималась еще одним видом «бизнеса»: хакеры создали около 50 фейковых интернет-магазинов, в которых продавались несуществующие товары. Таким образом злоумышленникам удалось обмануть более 10 000 покупателей.
Источник: xakep