Задержана группа кибермошенников

Задержана группа кибермошенников

Group-IB сообщает об оказании содействия правоохранительным органам в расследовании, результатом которого стало задержание очередной организованной группы киберпреступников. Более 4 лет группа Hodprot совершала хищения денежных средств через системы дистанционного банковского обслуживания, используя вредоносные программы. Приблизительный ущерб клиентов российских банков составил около 125 млн рублей.

Задержание 6 участников преступной группы Hodprot было проведено сотрудниками Управления экономической безопасности и противодействия коррупции ГУ МВД России по г. Москве в рамках уголовного дела, возбужденного по фактам хищений денежных средств через систему «Клиент-Сбербанк» у клиентов Сбербанка.

Группа действует с 2009 года и специализируется на хищении денежных средств с банковских счетов юридических лиц. В начале своей преступной деятельности мошенники использовали вредоносную программу Hodprot, а уже в 2011 году перешли на программу Carberp. Установлена причастность задержанной группы к 4 хищениям у клиентов Сбербанка на общую сумму более 13 млн рублей и у клиентов других коммерческих банков на общую сумму более 110 млн рублей.

«Это уже вторая группа, использующая Carberp, которая обезврежена правоохранительными органами при нашем участии за последние три месяца, — говорит Илья Сачков, генеральный директор Group-IB. — В данном случае мы оказали максимальное содействие в идентификации злоумышленников, их ролей и связей внутри преступной группы. Последующие экспертизы нашей лаборатории подтвердили причастность данных мошенников к конкретным случаям хищений денежных средств».

Несмотря на использование мошенниками серверов управления, расположенных в Голландии, Германии, Франции и США, разоблачены все участники преступной группы. Задержание проводилось при участии криминалистов Group-IB одновременно в нескольких регионах России.

«Благодаря организованному взаимодействию с Group-IB прекращена деятельность мошеннической группы, осуществлявшей хищения денежных средств у клиентов Московского банка и других коммерческих банков – пользователей систем дистанционного банковского обслуживания юридических лиц, — говорит Михаил Камордин, заместитель директора Управления безопасности Московского банка. — Совместными усилиями нам удалость в короткий срок пресечь деятельность опасной и мобильной группы мошенников, использовавшей самые технологичные методы хищений».

Group-IB выражает отдельную благодарность Московскому банку Сбербанка России за финансирование работ, предоставление необходимой информации и содействие в работе с правоохранительными органами; а также Центру вирусных исследований ESET, который оказал помощь при анализе вредоносных программ, используемых мошенниками.

В отношении злоумышленников Следственным департаментом МВД возбуждено уголовное дело по статьям 159 УК РФ (мошенничество), 273 УК РФ (создание, распространение и использование вредоносных программ), 272 УК РФ (неправомерный доступ к компьютерной информации). Основанием для возбуждения уголовного дела и задержания преступников послужили результаты проверки, проведенной УЭБиПК МВД России по заявлениям Сбербанка, и материалы анализа и исследований, подготовленные компанией Group-IB и Управлением безопасности Московского банка Сбербанка России во взаимодействии с Управлением информационной безопасности Департамента безопасности Сбербанка России.

После разблокировки Roblox в России мошенники раздают фейковые робуксы

Roblox вернулся в Россию, а мошенники тут же устроили на этом праздник фишинга. Компания «Эфшесть / F6» обнаружила новую схему угона аккаунтов в мессенджерах: злоумышленники обещают пользователям бесплатную игровую валюту в честь возвращения Roblox, а на деле крадут коды входа.

Официально о снятии ограничений с Roblox стало известно 10 июня 2026 года. После этого начали появляться фейковые сайты, копирующие дизайн настоящего Roblox. На них пользователям предлагают получить 1000 робуксов бесплатно. Ну конечно, просто так, без подвоха, как же иначе.

 

По данным «Эфшесть / F6», к 2 июля специалисты нашли уже более 10 фишинговых ресурсов, созданных по одному шаблону. Больше половины доменов зарегистрированы в зоне .xyz, остальные — в .cfd, .shop, .top, .cyou и .sbs. Ссылки на такие сайты распространяют через рекламные посты в Telegram, включая приватные и открытые каналы.

 

Пользователь нажимает кнопку «Продолжить», вводит номер телефона, а затем получает запрос на код из СМС. Только это не код для начисления робуксов, а код подтверждения входа в мессенджер. Если его ввести, аккаунт фактически оказывается в руках злоумышленников.

После этого мошенники могут читать переписку, смотреть контакты, документы, фото и видео, а также рассылать сообщения от имени жертвы. При этом пользователь может даже не сразу понять, что доступ уже скомпрометирован: злоумышленники не всегда блокируют владельца аккаунта сразу.

 

В «Эфшесть / F6» отмечают, что связанные с этими фейковыми сайтами IP-адреса пересекаются и с другими фишинговыми ресурсами, которые используются для угона учетных записей по похожим схемам.

Специалисты компании уже направили домены на блокировку в России. Но расслабляться рано: такие сайты легко появляются заново.

RSS: Новости на портале Anti-Malware.ru