Объединение усилий в борьбе с киберпреступностью на международном уровне увенчалось новым успехом: повержен ряд C&C-серверов банкера Dridex, весьма активного в текущем году; в США выдвинуты обвинения против предполагаемого ботовода, гражданина Молдовы, который был в конце августа задержан на Кипре и ожидает экстрадиции.

Трансграничная операция против масштабного банковского мошенничества проведена силами ФБР, Национального агентства Великобритании по борьбе с преступностью (NCA), европейского Центра по борьбе с киберпреступностью (EC3), национальных CERT обеих стран, лондонских киберкопов, полиции Германии и Молдовы. В расследовании также приняли участие ИБ-компании Dell SecureWorks, Fox-IT, S21sec и профильные некоммерческие организации — Abuse.ch, Spamhaus, Shadowserver Foundation.

Банковский троянец Dridex, иногда именуемый также Bugat, Cridex или Feodo, известен прежде всего тем, что раздается через спам с помощью макросов Microsoft Office. Доступ к нему, по свидетельству Trend Micro, предоставляется по BaaS-модели (Botnet-as-a Service, ботнет как сервис), и таких бот-сетей в настоящее время несколько. Ликвидировать их нелегко: создатели Dridex используют р2р-архитектуру, позаимствованную у ZeuS/Gameover, однако после разгрома последнего в ботнеты на основе Dridex был добавлен еще один промежуточный уровень.

Правоохранительным органам США и Великобритании удалось получить разрешение суда на подмену (sinkholing) C&C-серверов Dridex, выявленных в ходе расследования. Совместными усилиями им удалось обезвредить, по предварительным оценкам, значительную часть инфраструктуры зловреда. Работа по очистке оконечного оборудования, видимо, ляжет на плечи самих пользователей, которым NCA и US-CERT предлагают свои рекомендации и полезные ссылки.

В американском штате Пенсильвания возбуждено уголовное дело против молдаванина Андрея Гинкула, который обвиняется в преступном сговоре, несанкционированном доступе к компьютерам с целью совершения мошеннических действий, в причинении ущерба компьютерной технике, мошенничестве с использованием проводной связи и банковском мошенничестве. Согласно обвинительному акту, Гинкул являлся участником преступной группы, использующей вредоносное ПО для кражи банковских реквизитов. С помощью этой информации мошенники вывели миллионы долларов со счетов жертв заражения на счета, открытые дропами в США и за рубежом — в Киеве, Краснодаре, Минске.

Убытки от деятельности Dridex на территории США оцениваются в $10 млн (ФБР), в Великобритании — в £20 млн (NCA). Согласно наблюдениям Trend Micro, Dridex больше всего интересуют банки США, Великобритании, Румынии и Франции. Наибольшее число заражений обнаружено в США (19,83% детектов за последние три месяца), Великобритании (16,07%), Японии и Франции (10,54 и 7,70% соответственно).

Категории: Вредоносные программы, Главное, Кибероборона