Преступная группа хакеров, о пресечении деятельности которой силами сотрудников МВД стало известно во вторник, была одной из шести наиболее опасных киберпреступных группировок, действующих на территории России. Об этом рассказал РИА Новости представитель пресс-службы компании Group-IB, которая также принимала участие в расследовании деятельности группировки.

Как сообщило МВД, всего в группе участвовали восемь человек, которые за полгода, по предварительным данным, смогли похитить около 60 млн рублей. Сейчас деятельность группы пресечена, предполагаемый руководитель арестован на время следствия, а остальные участники находятся под подпиской о невыезде.

«Это была одна из шести крупнейших киберпреступных группировок в России. Мы надеемся, что с ее ликвидацией наступит снижение количества хищений из систем интернет-банкинга», — заявил представитель пресс-службы Group-IB Богдан Вовченко.

Эксперты различают банды киберпреступников между собой по различным признакам, в том числе по типу вредоносного программного обеспечения, которое они использовали, и по методам заражения. По данным Group-IB, ликвидированная группировка была одной из наиболее крупных по масштабам хищений и самой крупной — по количеству украденных денег.

Специалисты Group-IB столкнулись с деятельностью данной группы в ноябре 2010 года. По данным компании, полученным после изучения панели управления бот-сети, через которую киберпреступники осуществляли в том числе учет похищенных средств, только за IV квартал минувшего года группировке удалось похитить около 130 млн рублей, а за весь 2011-й, по предварительным подсчетам, преступники похитили около 150 млн долларов.

Разница между данными о похищенных средствах Group-IB и МВД объясняется тем, что представители правоохранительных органов опираются на информацию от потерпевших, обратившихся с заявлением в полицию, в то время как в Group-IB используют цифры, собранные в ходе изучения «черной бухгалтерии» хакеров.

Злоумышленники взламывали интернет-ресурсы популярных СМИ и крупных магазинов, а также сайты, которые активно используют в своей деятельности бухгалтеры, и заражали их вредоносными программами. Установив скрытый удаленный доступ к компьютеру потенциальной жертвы и обнаружив на нем программы и реквизиты для работы с банковскими счетами, так называемый заливщик формировал мошенническое платежное поручение о перечислении денежных средств на заранее подготовленный счет. Далее похищенные деньги обналичивались через банковские карты, оформленные на подставных физических или юридических лиц.

Для комфортной работы «заливщиков» руководителями группы был открыт офис, который функционировал как компания по восстановлению данных.

Для заражения компьютеров своих жертв хакеры использовали троянские программы Win32/Carberp и Win32/Rdpdor. Попав в компьютер, такой «троянец» сканирует его на наличие клиентского приложения для доступа к счетам, открытым в Сбербанке, СyberPlat или других системах дистанционного банковского обслуживания, после чего скачивает из сети вредоносный плагин, с помощью которого осуществляется доступ к учетной записи жертвы.

По мнению экспертов, эта троянская программа крайне эффективна: она обнаруживается далеко не каждым антивирусом — ее авторы постоянно совершенствовали защиту, а также содержит функционал, позволяющий вредоносному ПО запускаться раньше, чем операционная система, и вносить изменения в ее функционирование еще до того, как запускаются защитные программы.

В январе 2011 года специалистам Group-IB стал известен предполагаемый организатор преступной группы. По мнению экспертов компании, именно он (имя не разглашается в интересах следствия) являлся владельцем бот-сети, через которую осуществлялись заражения и вывод средств, а все остальные участники группы в основном занимались обналичиванием денег. Помимо этого, группировка занималась проведением распределенных атак на отказ в обслуживании (DDoS), утверждают в компании.

Исследование бот-сети и серверов киберпреступной группы, полученных в результате взаимодействия с профильными организациям разных стран, включая Нидерланды и Канаду, позволило предотвратить хищения у клиентов более чем в 100 различных банках по всему миру, сообщила Group-IB.

Расследование деятельности и поиски участников остальных пяти киберпреступных группировок, действующих на территории России, пока продолжаются.