Испанская полиция арестовала 16 подозреваемых, которых обвиняют отмывании денег, украденных с помощью банковских троянов Mekotio и Grandoreiro. Группировка была арестована на прошлой неделе, в рамках операции Aguas Vivas («Живые воды»), а в домах подозреваемых прошли обыски.
Desarticulada una red dedicada a cometer estafas a través de Internet.
Se ha detenido a 16 personas y se han conseguido bloquear tentativas de transferencias por un importe de 3.500.000 euros, tras analizar más de 1.800 correos electrónicos.
Más info: https://t.co/0ggQlE0UxB pic.twitter.com/EOAVRuyrKq— Guardia Civil ?? (@guardiacivil) July 10, 2021
Власти сообщают, что обнаружили доказательства получения подозреваемыми более 276 470 евро с банковских счетов, взломанных с помощью банкеров Mekotio (Melcoz) и Grandoreiro. Кроме того, представители Гражданской гвардии Испании (Guardia Civil) говорят, что подозреваемые имели доступ к банковским счетам, на которых хранилось около 3,5 млн евро, просто эти средства еще не успели похитить у владельцев и куда-то переместить.
Считается, что трояны Mekotio и Grandoreiro созданы бразильскими хак-группами, которые продают доступ к своим инструментам другим преступникам, а те уже распространяют малварь и занимаются отмыванием денег.
Оба трояна созданы для Windows-машин и обычно распространяются с помощью фейковых электронных писем, имитирующих послания различных реальных организаций. Заразив жертву, трояны прячутся и ждут, когда пользователь войдет в электронный банкинг, чтобы незаметно похитить его учетные данные.
Таким образом малварь может воровать учетные данные для 30 различных банков. Как только злоумышленники получают доступ к банковским счетам жертв, они переводят средства на счета, находящиеся под их собственным контролем.
Правоохранители говорят, что организация преступников была структурированной и имела четырехуровневую иерархию. С одной стороны были те, кто занимался получением мошеннических переводов (уровень 1), которые они позже переводили другим членам группы (уровень 2). С другой стороны, были те, кто переводил деньги на другие счета, расположенные за границей (уровень 3), и, наконец, те, кто занимался маскировкой операций хак-группы (уровень 4).
«Особенность, которую отмечали все пострадавшие: после выполнения какой-либо банковской операции через интернет, их компьютеры начинали перезагружаться и продолжали до тех пор, пока доступ не был заблокирован. Позже обнаруживалось, что в это время большие суммы денег были переведены на неизвестные счета, — рассказывают представители Guardia Civil. — После этого деньги разделялись путем отправки на другие счета, снятия наличных в банкоматах, переводов с помощью карт BIZUM, REVOLUT и так далее. Все это делалось, чтобы затруднить возможное расследование».
Напомню, что в прошлом году эксперты «Лаборатории Касперского» уже предупреждали, что Grandoreiro и Melcoz расширили свои атаки, и добрались до пользователей в Европе, Северной и Латинской Америке. Как теперь отмечают в компании, в последнее время Испания страдает от атак банкеров сильнее всего, сразу после «родной» для вредоносов Бразилии.
Эксперты с сожалением подчеркивают, что арестованные в Испании лица были лишь операторами. То есть создатели Grandoreiro и Melcoz остаются на свободе в Бразилии, продолжат разработку малвари и смогут привлечь в свой «бизнес» новых участников.
