Еще в 2016 году  в США экстрадировали троих участников хак-группы Bayrob. Правоохранители рассказывали, что граждане Румынии Богдан Николеску (Bogdan Nicolescu aka Masterfraud, aka mf), Данет Тибериу (Danet Tiberiu aka Amightysa, aka amy), и Раду Миклаус (Radu Miclaus aka Minolta, aka min) с 2007 года занимались мошенничеством и разработкой малвари, а затем их «бизнес» эволюционировал в крупный ботнет, занимавшийся еще и майнингом криптовалюты.

По данным властей, за годы активности группировка похитила у своих жертв более четырех миллионов долларов, однако аналитики компании Symantec, которые помогали правоохранительным органам прекратить деятельность группы, сообщали, что на самом деле ущерб от действий Bayrob мог составлять более 35 000 000 долларов США.

Напомню, что в 2007 году злоумышленники преимущественно занимались мошенничеством через eBay и рекламный скам. Они выставляли на продажу несуществующие товары (как правило, это были дорогие автомобили) и ждали, пока их лотом заинтересуется потенциальный покупатель. Как только жертва проявляла интерес к несуществующему товару, мошенники связывались с ней, чтобы обсудить детали сделки. Потенциальному покупателю присылали файл, якобы содержащий галерею с фотографиями машины, но помимо фотографий там присутствовал и троян Bayrob, созданный самой группировкой.

Поначалу Bayrob действовал как упрощенный банкер, только вместо фальшивой страницы банковского портала, он приводил пользователей на фальшивую страницу eBay, где размещалось сообщение о продаже несуществующей машины. Фальшивые страницы и письма создавались с большим тщанием, а английский язык группировки был на высоте и практически не содержал ошибок. Мошенники придумывали фальшивые отзывы покупателей для фальшивых eBay-страниц, подделывали сведения о предыдущих владельцах авто, участии в ДТП и ограничениях при отчуждении, и даже создавали фейковые сайты транспортных компаний, которые якобы должны были доставить авто покупателю.

На самом деле, все это нужно было для усыпления бдительности жертвы, чтобы отсрочить момент, когда покупатель поймет, что его обманули, и уведомит о случившемся банк и правоохранительные органы. За это время хакеры успевали воспользоваться услугами так называемых «денежных мулов», которые переправляли деньги из США в Румынию (при этом группировка не стеснялась вводить в заблуждение или грабить собственных курьеров, зачастую оставляя их без причитающейся им «комиссии»).

В 2014 году Bayrob эволюционировал в полноценного бэкдор-трояна, который «научился» похищать с зараженных машин данные о банковских картах и другую конфиденциальную информацию. Он стал распространяться во вложениях к спамерским письмам, якобы направленным от лица таких организаций, как Western Union, Norton AntiVirus и IRS.Также известно, что хакеры зарегистрировали более 100 000 почтовых ящиков и рассылали с ним детсяки миллионов вредоносных писем на ранее собранные email-адреса. Кроме того, они перехватывали запросы к Facebook, PayPal, eBay и другим сайтам и перенаправляли своих жертв на похожие домены, где похищали их учетные данные

Так, если в 2007 году Bayrob было заражено около 1000 машин, то к 2014 году их количество возросло 50 000, а к 2016 году и вовсе превысило отметку в 300 000. Ботнет таких размеров позволял осуществлять самые разные операции, к примеру, в числе прочего, группировка занялась майнингом криптовалюты.

Обвинения всем троим подозреваемым были предъявлены еще в 2016 году, однако до суда дело дошло существенно позже. Так, о том, что Богдан Николеску и Данет Тибериу признали себя виновными, стало известно только в апреле 2019  года, и вынесение приговора по 21 пункту обвинения было назначено на текущую осень.

В конце прошлой недели на сайте Министерства юстиции США появилась информация о том, что Николеску и Тибериу были приговорены к 20 и 18 годами лишения свободы, соответственно.

Теперь правоохранители сообщают, что злоумышленники не только похищали чужие деньги и добывали на зараженных машинах криптовалюту, но и воровали различную информацию у пострадавших, затем перепродавая эти данные в даркнете (это могли быть учетные данные, финансовая информация и так далее).

Оставить мнение