Беспрецедентная волна слухов об аресте Paunch, пущенная голландским исследователем, получила подтверждение от главы Европейского центра по борьбе с киберпреступностью (European Cybercrime Centre, EC3). Paunch известен как автор знаменитого эксплойт-кита Blackhole, и его арест, по всей видимости, пробил брешь в темном мире киберпреступности.

Blackhole — самый известный набор зловредов, доступный в даркнете; набор, сдаваемый преступникам в аренду и позволяющий им заражать компьютеры пользователей с помощью браузерных уязвимостей. Киберпреступники используют подложные ссылки для заманивания пользователей на свои сайты, а эксплойт-кит определяет, какие из эксплойтов будут работать на компьютере жертвы, и использует их для заражения.

Трулс Эртинг, руководящий EC3 из Гааги, подтвердил сайту TechWeek Europe арест Paunch.

«Я знаю, что это правда, у нас есть кое-какие сведения, но я не могу сказать ничего сверх этого», — заявил Эртинг.

paunch-arrest

Волна слухов началась с сообщения в твиттере сотрудника компании Fox-IT Мартена Боне, в котором тот написал об аресте Paunch в России. Вскоре после этого французский исследователь в области информационной безопасности Kafeine сообщил Threatpost, что архив с Java-файлами эксплойт-кита не обновлялся почти четыре дня, а это явный признак того, что что-то произошло. Он прислал Threatpost график, показанный выше, демонстрирующий количество сайтов Blackhole, возвращающих ошибки на протяжении нескольких дней; а ведь иногда JAR-файлы Blackhole обновлялись дважды в день.

Kafeine также сообщил, что распространение зловреда-блокировщика Reveton перешло от Blackhole к эксплойт-киту WhiteHole. В дополнение онлайн-сервис crypt[.]am, владельцем которого якобы является Paunch, неактивен со вчерашнего дня. Этот сервис использовался для шифрования части эксплойт-кита.

Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», также подтвердил факт ареста, сославшись на анонимные источники.

«Возможны три сценария: Blackhole может исчезнуть, его могут перехватить другие разработчики, или его заменят другие эксплойт-киты, — сказал Гостев. — Что именно случится на самом деле, скоро увидим».

В январе появился Cool Explot Kit, также предположительно разработанный и поддерживаемый хакером Paunch. При этом Cool гораздо дороже своего старшего брата, его месячная подписка стоит около $10 000 против $500 в месяц за Blackhole.

На данный момент Cool использует несколько браузерных уязвимостей нулевого дня, существование которых держалось в секрете, в то время как Blackhole является набором известных эксплойтов, нацеленных на уже исправленные уязвимости. В последнее время Blackhole начал переходить от использования браузерных ошибок к эксплойтам для Java, Adobe Reader и Flash.

В 2011 году исходный код Blackhole появился в Интернете, но бизнесу Paunch и его группы это не повредило. Они лишь инвестировали дополнительные $100 000 в исследования уязвимостей браузеров и их плагинов, согласно сообщению на андеграундном форуме, найденном Кребсом в январе этого года.

Категории: Уязвимости, Хакеры