В Испании 26 марта был арестован главный организатор группировки Carbanak (также известной как Cobalt), ответственной за хищение из 100 банков по всему миру более 1 млрд евро (или 1,2 млрд долларов). Преступника задержали в городе Аликанте после сложного расследования, проведенного испанской национальной полицией при поддержке Европола, ФБР, румынских, белорусских и тайваньских властей, а также частных компаний, специализирующихся на кибербезопасности. Подозреваемым оказался Денис К., гражданин Украины.

Преступная организация начала свою деятельность в 2013 году, разработав и пустив в оборот вредоносное ПО Anunak, которое предназначалось в основном для финансовых учреждений и сетей банкоматов. Позже злоумышленники усовершенствовали программу до более сложной версии, получившей имя Carbanak. Ей они пользовались до 2016 года, после чего переключились на ими же модифицированное ПО Cobalt Strike — легальный фреймворк для проведения тестов на проникновение. Вредоносы дали названия группировке.

Несмотря на то что используемые преступниками инструменты варьировались, схема атаки всегда оставалась одинаковой. Все нападения начинались с рассылки потенциальным жертвам зловредных писем. При этом в адресе электронной почты всегда значилось доменное имя официального делового партнера организации. В прикрепленном файле содержался вредонос, который предоставлял мошенникам удаленный доступ к компьютеру открывшего его сотрудника.

Через зараженное устройство атакующие проникали во внутреннюю сеть учреждения. После этого они выявляли машины с доступом к управлению ATM, банковскими счетами, денежными переводами и другими финансовыми операциями. Завладев ими, злоумышленники выводили средства организации одним из трех способов.

В первом случае они заранее договаривались с сообщниками, которые в определенное время подходили к намеченным банкоматам и собирали в мешки деньги, «выплюнутые» терминалом по команде кибермошенников.

Второй метод подразумевал переброску средств со счетов законных владельцев на счета членов преступной организации или подставных лиц, после чего украденное или обналичивалось, или использовалось в махинациях по отмыванию.

В третьем случае мошенники подменяли информацию учетных записей, искусственно завышая баланс, а потом при помощи пособников забирали наличные в банках.

Глава преступной группировки Денис К. руководил операциями из Испании. Для отмывания денег он конвертировал их в криптовалюту, после чего приобретал предметы роскоши, в том числе дома и автомобили. В его криптокошельке было найдено около 15 тыс. биткойнов (или 120 млн долларов). Испанская полиция считает, что, с учетом затрат на модернизацию систем для новых атак и разрешение разногласий с российской мафией, можно предполагать, что изначальная сумма была гораздо больше.

Кибератаки в основном были направлены на российские банки и затронули практически всю финансовую систему страны. В 2017 году под удар попало 240 организаций, а сумма ущерба составила 1,156 млрд рублей.

Денис К. работал совместно с тремя другими членами банды, но, по словам директора испанской полиции Карлоса Юсте (Carlos Yuste), злоумышленники не знали друг друга в лицо и общались только через интернет-чаты. Юсте считает маловероятным, что остальные участники группировки смогут продолжать работать после того, как их вдохновитель был арестован.

В пресс-релизе Европола об их судьбе ничего не говорится, однако вскоре после его публикации на официальном сайте киберполиции Украины появилась информация об аресте другого члена Cobalt, 30-летнего жителя Киева. «В его обязанности входили разработка и поддержка функционирования эксплойтов, которые использовали уязвимости в наиболее распространенных программных продуктах, — сообщает источник. — После получения доступа к компьютеру злоумышленник добывал персональную информацию и банковские реквизиты всех клиентов банка или гостиницы, чьи компьютеры были заражены, а полученные сведения продавал. Установлено, что во время одной из таких сделок ему удалось продать около 140 000 реквизитов банковских карточек».

В сообщении также сказано, что сейчас украинские оперативники вычислили других участников группировки. Все они находятся на территории Российской Федерации.

Арест главаря Cobalt — это не первый результат международного сотрудничества правоохранительных органов. В июле 2017 года полиция Нидерландов, работая совместно с Европолом, ФБР и американским агентством по борьбе с наркотиками, пресекла деятельность AlphaBay, крупнейшей в даркнете торговой площадки по сбыту наркотиков, огнестрельного оружия и вредоносного ПО. А в марте 2018 года правоохранительные органы Евросоюза, Польши и Бельгии задержали автора трех троянов-шифровальщиков.

Категории: Главное, Мошенничество