Работа в Стамбуле

Блог

Как дроповоды площадки процессинга угнали ботнет

Учитывая огромную популярность банковских ботнетов Zeus, возможность взлома и последующего угона банковских ботов делает его панель управления отличной целью для дроповодов и реальных заливщиков денег.

Малоизвестный дроповод Darkmoney, под ником Xylitol, продемонстрировал, как всего за одну минуту можно осуществить угон систем удаленного управления ботами ZeuS. Напомним, что этот известный опасный банковский троян среди прочего способен незаметно переводить средства с банковских online-счетов. Ботоводы обычно создают свои варианты трояна с помощью инструментов и исходного кода, которые можно легко скачать с торрент-трекера бесплатно.

Сейчас достоверно известно, что у бота, контролирующего код на C&C-серверах, есть брешь в безопасности, благодаря которой они могут разрушить киберпреступные сети изнутри. К примеру, ранее сообщалось об ошибке удаленного выполнения кода в панелях управления ZeuS 2.0.8. Теперь же дроповод Xylitol продемонстрировал взлом Zeus 2.1.0.1.

Дроповод извлек ключи RC4, используемые для шифрования коммуникаций между ботами и C&C-сервером, а также URL-адрес сервера ZeUS. Затем он проэксплуатировал брешь и получил доступ к панеле управления ботнетом. «Угнать Zeus еще никогда не был настолько просто», — говорится в описании видеоролика, опубликованного Xylitol. По его словам, атаку можно осуществить еще быстрее, если автоматизировать процесс взлома с помощью все той же среды Metasploit Pro.

Предполагается, что дроповод использовал для взлома и угона панели управления Zeus комбинацию эксплоитов, написанных на PHP. Ключ RC4 генерируется бот-мастером при настройке C&C-сервера, и боты, подконтрольные ему и зараженные компьютеры используют одинаковый ключ. По словам заливщиков денег, этот ключ может быть извлечен из бота и использован для того, чтобы «обмануть» сервер управления ботнетом. Учитывая огромную популярность ботнетов на основе Zeus, возможность взлома и угона панели управления делает его отличной целью для дроповодов, только что решивших начать работать в теме денежных заливов и обнала.

01.02.2015
Скачать LOIC для Windows и как работает этот самый LOIC?

LOIC (Low Orbit Ion Cannon) — приложение, разработанное на платформе Microsoft .NET Framework 3.5 с пакетом обновления 1 группой 4Chan, созданное для организации DDoS атак на веб-сайты с участием тысяч анонимных пользователей, пользующихся программой. Атаки производятся на такие сайты как, например, nsa.gov или cia.gov

Нужно просто нажать на кнопку в приложении…

Главной задумкой LOIC было то, что любой пользователь, даже если у него нет ни малейшего представления о проведении атак, может поучаствовать в процессе. Все что вам нужно – это просто скачать LOIC (доступны версии для Windows, Mac и даже Linux!), ввести информацию о цели, например URL, и начать атаку.

…которое может контролироваться главным пользователем

Версия Loic для Windows имеет центр управления, который позволяет связать LOIC с IRC сервером. Это позволяет кому-то еще, предположим админу группы Анонимоусов, направлять атаки пользователей на определенный сайт. И благодаря тому, что тысячи людей скоординировано атакуют сайты для оказания воздействия, у центральных администраторов есть возможность просто нажать на «большую кнопку разрушения сайта». Подобный контроль делает систему очень эффективной.

Добровольно давать хакерам контроль над своим компьютером? Звучит устрашающе. Хотя на самом деле клиент LOIC это доступное open source приложение, написанное на C# и шансы на то, что при загрузке пользователь получит вирус или трояна минимальны.

…для запуска флуда…

LOIC превращает ваш компьютер в источник ложных запросов, направленных на атакуемый сайт. Сам по себе один компьютер редко генерирует достаточно TCP, UDP, или HTTP запросов единовременно для вмешательства в работу сайта – ложные запросы могут просто игнорироваться, в то время как правильные запросы на веб-странице будут обрабатываться нормально.

Но когда тысячи пользователей одновременно запускают LOIC, волна запросов настолько огромна, что зачастую сервер падает (или по крайней мере падает одна из его частей, например сервер баз данных). Если даже сервер продолжает работать часто происходит так, что он не в состоянии обработать правильные запросы.

…с минимальный риском для пользователя

Так как DDoS атака приводит к падению – по крайней мере если все идет по плану – системный журнал, который обычно записывает каждое входящее соединение, просто не работает. Да если бы и работал, многие пользователи LOIC заявляют, что другой человек использовал их сеть или что их машина была частью ботнета – DDoS-клиентом, попавшим с вирусом, который работает точно так же как LOIC за исключением того, что пользователи не знают об участии в атаке.

01.02.2015
Кто сейчас ещё льёт на карты и счета на площадке процессинга

прошло немало времени с тех пор, как обнал банковских карт превратился из простого хобби в способ заработать себе на жизнь.

Каждый день мы можем наблюдать, как множество людей общаются в социальных сетях, блогах и на форумах, но это лишь видимая сторона Интернета. Существует еще и другая сторона — его подполье, и общение здесь не менее важно, чем в социальных сетях.

Так как же ливщик делает заливы на карты и счета? Откуда они тайно получает информацию о банковских счетах и картах, способах обхода защиты денег, товаров или услуг при проведении тайных сделок, а также основы иерархии в киберпространстве. Какие подпольные продукты и услуги использует заливщик денег. Как используется перепродажа трафика, серверы с повышенным уровнем отказоустойчивости, SMS, спам-сервисы и вбив картона.

Так сколько же стоили подобные услуги в прошлом году?

01.02.2015
Недавняя активность ботнетов и оживление на площадках процессинга

13 января — банковский троян Citadel и европейские банки
Согласно  отчету McAfee  первыми целями были объекты в Польше и ряде европейский стран, основная цель — хищение денежных средств. Отчет немного не бьется с той информацией, которую можно воспринимать как достоверную, так как Citadel является одним из популярных и далеко не новых банковских троянов, о котором так объемно можно рассуждать, ссылаясь на многочисленные протрояненные правительственные и индустриальные объекты.

17 января — возрождение Blackenergy в части рассылки спамма
Обнаружены новые сэмплы и модификации известного DDoS-бота Blackenergy, контрольные центры старых экземпляров которого были заблокированы в прошлом году. Отмечу, что троян квалифицируют как средство реализации рассылок, хотя первоначально все технические характеристики и его применение в составе ботнетов характеризовали его как DDoS-бота, активно использующегося в среде киберпреступников по причине простоты настройки, достаточно качественного кода и способности реализации разноплановых атак с применением множественных потоков.

20 января — распространение мобильного вредоносного кода под российские банки
На Google Play  появились  фейки приложений для мобильного доступа к ДБО Сбербанка и Альфа-банка. Group-IB осуществила удаление вредоносов путем взаимодействия с Google, после чего провела  анализ  отдельного экземпляра, в ходе чего были выявлены 2 управляющих центра, 1 из которых ранее распространял Carberp.

23 января — блокирование ботнета Virut
В настоящее время в состав ботнета Virut входят сотни тысяч зомби-машин. Symantec в конце 2012 года регистрировала порядка 308 тыс. активных ботов в сутки, отмечая их высокую концентрацию в Египте, Пакистане, Индии и Индонезии. В совместной  операции  при участии Spamhaus, Group-IB, NASK и CERT Польши были локализованы и заблокированы основные центры управления ботнетом.

31 января — “Покерный” ботнет и Facebook
Впервые ботнет PockerAgent был обнаружен в 2012 году. Троян предназначен для похищения учётных данных, а частности информации о кредитных картах участников социальной сети Facebook, которые используют игровое приложение Zynga Pocker. Основной регион его активности – Израиль, где было зафиксировано более 800 случаев проявления трояна. На сегодняшний день им уже похищены данные 16194 учётных записи. PockerAgent имеет несколько вариаций и относится к семейству MSIL/Agent.NKY. Троян написан на языке С# и легко декомпилируется. И после изучения исходного кода вируса, было обнаружено, что троян получает доступ к аккаунту жертвы, собирает статистику оплат и данные средств оплаты (кредитных карт) услуг в игре Zynga Pocker, а затем отправляет эти данные на удаленный C&C сервер .

Начало февраля — тоже бурное, обнаружен ZeroAccess, ботнет таргетированный на реализации подмене выдачи поисковых систем и фрода в BitCoin, что является немалой экзотикой. В данный момент насчитывает порядка 140 000 зараженных машин.

Отдельно в наступившем году стоит говорить о новой модификации банковского трояна Carberp с включенным модулем для заражения MBR-записи, количество ботнетов которого в мире растет с каждой новой продажей в руки киберпреступников. Группа продолжает вести активную деятельность по разработке и совершенствованию указанного банковского трояна.

В свою очередь, вчера на  Инфофоруме  выступал Никита Кислицин, руководитель стратегического развития Group-IB Bot-Trek™, уникального проекта по мониторингу ботнетов для проактивного предотвращения фрода в банках и злонамеренной активности в телекоммуникационной отрасли. В этом году о проекте узнают более подробно, так как он выйдет в массы и позволит эффективно бороться с мошеннической активностью, опережая ее реализацию.

01.02.2015
Private data leakage from Swiss Bank

A hacking group leaked identifying details about 30,000 clients of a small Swiss bank, after Banque Cantonale de Geneve (BCGE) declined the group’s request to pay a ransom.

The hackers’ asking price for continued privacy: Ten. thousand. euros.

The hack and its seemingly small-scale demand — $12,000 at current exchange rates — speak to the prevalence and ease of a rapidly growing extortion industry that deals in stolen or hijacked data.

At around 6 p.m. central European time, the hacking group, which calls itself Rex Mundi, offered a link that it said contained purloined e-mails with clients’ names, phone numbers and account numbers, as well as their e-mails with the bank. The group said it will post the data tomorrow on its website.

In a statement on its web site, Banque Cantonale de Geneve confirmed the client details had been released but said the information didn’t represent a financial risk for clients or the bank. It said it is conducting deeper analysis with authorities and that additional security measures put in place earlier this week have been effective.

Earlier in the day, Banque Cantonale de Geneve said it “stands with its decision” to refuse the ransom demand, according to Helene De Vos Vuadens, a spokeswoman for the bank.

Little Doubt

That left little doubt that the information would be released, according to Chase Cunningham, a security analyst at FireHost, a security company based in Richardson, Texas.

“One thing you can say about these guys is that you have to take them very seriously,” said Cunningham. “If you don’t pay up they are going to try to make you suffer.”

The Rex Mundi hackers are a well-organized part of a broader legion of online hijackers whose tools include ransomware, a virus that locks up home computers and requires a payment from victims to release their data. In that case, home-computer owners can make the payments via credit card to the hackers, who often operate out of Eastern Europe or Russia, according to security experts.

Rex Mundi has perfected a similar small-bore shakedown focusing on companies, Cunningham said. They scan for vulnerabilities in company networks, quickly extract data, ransom it for small amounts and then move on.

Leaked E-Mails

Earlier this week, the hackers released a statement that included two stolen e-mails to verify they had the data.

“If we do not get paid in the meantime, we will post the Banque Cantonale de Geneve #leak tonight on our website,” Rex Mundi said on Twitter earlier today. “We would like to wish a merry tax audit to all the non-Swiss account holders listed in the BCGE files.”

A later tweet from the account added: “It is easier to get 10 companies to pay 10K than to get 1 company to pay 100K.”

Client information from Swiss banks has, in the past, been an object of particular scrutiny. Customer data from HSBC Holdings Plc’s Swiss unit provided to French authorities in 2008 led to a probe against the bank. The data was obtained by Herve Falciani, a software technician.

BCGE is taking part in a U.S. program that allows Swiss banks to voluntarily disclose information on how they helped clients hide money from the Internal Revenue Service. In exchange, they may receive non-prosecution deals in relation to allegations that they fostered tax-evasion through cross-border accounts held by U.S. clients.

Client Contacts

The bank, which is partly owned by the canton of Geneva, said in statements that all affected clients were being contacted by their advisers.

The Rex Mundi hacking group has been around for at least two years, Cunningham said, and includes hackers from Germany, Austria, France and possibly the U.S. He says the hacker group was formed from more militant elements of prevalent hacktivist groups, which have been hurt by arrests of top leaders over the last three years.

“They’d much rather have 50 companies pay them $25,000 than one company pay them $5 million,” Cunningham said. “They definitely go for low-hanging fruit.”

Other Rex Mundi victims have included Domino’s Pizza Inc., according to the group’s website.

“There was an incident that was isolated to independent franchises in France and Belgium that took place in June,” Tim McIntyre, vice president of communications for Domino’s, said by telephone. The hackers accessed systems that were about to be updated, he said, which contained names and addresses but no credit card or financial information. The franchisees declined to pay and the systems were updated, he added.

“It turned out to be much ado about nothing,” he said.

01.02.2015