Европол сообщил об аресте автора трех шифровальщиков и троянов для банковского ПО, который на протяжении пяти лет атаковал преимущественно польские компании. Операция была проведена совместно с правоохранительными органами Польши и Бельгии.

Арестованный Томаш Т., известный в среде киберпреступников под никнеймом Armaged0n, впервые обратил на себя внимание полиции в 2013 году. Тогда он распространял троян, подменявший в буфере обмена номер банковского счета жертвы на свой собственный. В 2017 году злоумышленник переключился на вымогательство и в конце января запустил первую версию разработанного им шифровальщика Polski.

В сообщении, которое выводилось на экран зараженного устройства, хакер использовал электронную почту Sigaint. Сервис заблокировали в феврале, и злоумышленник был вынужден обновить свое вредоносное ПО. В марте Armaged0n выпустил Vortex и Flotera, сменив не только e-mail, но и стоимость выкупа, которая с 249 долларов упала до 199.

По данным исследователей кибербезопасности из компании Bad Cyber, код вредоносного трио был основан на бесплатной утилите с открытым исходным кодом AESxWin, которую злоумышленник дописал под свои нужды. Правда, сделал он это не особо искусно: в программе сохранились такие фичи, как возможность остановить ее автозапуск (всплывающее окно с соответствующим запросом мошеннику не удалось скрыть) и опция зашифровать файлы самостоятельно, если зловред что-то упустил. Для распространения шифровальщиков киберпреступник использовал троян удаленного доступа vjworm, а также рассылал вредоносные письма от лица государственных организаций и таких компаний, как DHL, Zara и WizzAir.

Полученный выкуп в биткойнах Томаш Т. переводил на свой основной счет, после чего менял их на крупной польской криптобирже, в учетной записи которой было указано его реальное имя. Это позволило правоохранительным органам вычислить преступника, проживающего в Бельгии, и провести обыск по его месту жительства. Как только хакер вернулся в Польшу, он был задержан полицией. Ему предъявили обвинения по 181 пункту, включая отмывание денег и кибермошенничество. Как утверждают представители Европола, всего Томашу Т. удалось заразить несколько тысяч устройств и “заработать” 145 тысяч долларов.

Шифровальщики остаются излюбленным инструментом киберпреступников. Недавно исследователи кибербезопасности сообщили об обновлении нашумевшего вымогателя GandCrab, после которого выпущенные для него декрипторы перестали работать. Новый зловред Annabelle удивил экспертов ИБ арсеналом своих возможностей — помимо шифровки файлов он умеет блокировать системы безопасности и службы Windows и даже вмешивается в работу загрузчика ОС. А авторы зловреда Saturn решили творчески подойти к вопросам его распространения, запустив партнерскую программу по использованию вредоносного ПО.

Категории: Кибероборона, Хакеры