Эксперты компаний FireEye и iSight Partner опубликовали подробный отчет о деятельности хакерской группировки, фигурирующей в документе под именем Fin6. Эта неизвестная ранее группа работает с конца 2015 года и в основном занимается хищением финансовой информации.
Преимущественно это информация о банковских картах, полученная в результате атак на сектора розничной торговли и медицины. Специалисты сообщают, что только в одном из случаев хакеры похитили данные 20 млн банковских карт, что принесло им порядка 400 000 000 долларов.
Каким образом происходит исходная компрометация систем жертв, эксперты точно сказать не могут. Исследователи полагают, что на первом этапе кардеры из Fin6 могут использовать направленный фишинг или вообще перекупают доступ к уже инфицированным компьютерам у других групп. В частности, в системах пострадавших был найден вредонос Grabnew, который также известен под названиями Vawtrack или Neverquest. Grabnew является бэкдором, умеет воровать данные из веб-форм, а также осуществлять инъекции кода в веб-страницы. Зловред похищает учетные данные с зараженных машин и PoS-систем и переправляет их на сервер своих операторов,
Чтобы закрепиться в системе, злоумышленники используют различные модули Metasploit. В частности, в одном из рассмотренных экспертами случаев, для загрузки и выполнения шеллкода был задействован Metasploit PowerShell. Также в арсенале картеров присутствуют Hardtack и Shipbread.
Злоумышленники повышают свои привилегии, эксплуатируя уязвимости CVE-2013-3660, CVE-2011-2005 и CVE-2010-4398. При помощи других модулей Metasploit, Fin6 делают копию Active Directory БД (ntds.dit), что впоследствии позволяет хакерам извлечь парольные хеши и взломать их в оффлайне.
Укрепив свои позиции, злоумышленники доставляют в зараженную систему основного вредоноса – Trinity, чья деятельность уже направлена непосредственно против PoS-девайсов. Trinity собирает в зараженной системе широкий спектр различных данных, пакует информацию в ZIP-архивы и заливает их на хостинг, откуда информация уходит на управляющий сервер хакеров. В одном из изученных специалистами случаев заражению Trinity подверглись более 2000 систем сразу.
Собранную информацию о банковских каратах Fin6 не используют самостоятельно, но перепродают в даркнете. По данным экспертов, в среднем цена информации об одной карте составляет $21. В отчете сказано, что только в результате одного из многочисленных инцидентов, злоумышленники сумели похитить данные о 20 млн банковских карт, так что можно представить, какими суммами оперирует группировка Fin6 и каков масштаб их атак.
Басманный суд Москвы заочно арестовал одного из основателей компании IBS, бывшего члена совета директоров Альфа-банка и «Вымпелкома» Сергея Мацоцкого. Решение принято по ходатайству следствия в рамках уголовного дела о даче взятки в особо крупном размере.
Об этом сообщил «Интерфакс». Подробности уголовного дела официально не раскрываются. По оценке телеграм-канала Mash, Мацоцкому может грозить до 15 лет лишения свободы.
«Постановлением Басманного районного суда города Москвы удовлетворено ходатайство органов предварительного расследования об избрании меры пресечения в виде заключения под стражу в отношении Мацоцкого Сергея Савельевича, обвиняемого в совершении преступлений, предусмотренных ч. 5 ст. 291 УК РФ, меру пресечения в виде заключения под стражу на срок 2 месяца с момента его экстрадиции на территорию Российской Федерации либо с момента его задержания на территории Российской Федерации», — говорится в официальном сообщении судов общей юрисдикции Москвы.
Сергей Мацоцкий — один из основателей ИТ-интегратора IBS. В 2020 году он покинул компанию и создал инвестиционный холдинг «ГС-Инвест». Мацоцкого называют одной из влиятельных фигур в российской ИТ-отрасли. Его состояние оценивается в 14,5 млрд рублей.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
