Киберпреступники-близнецы получили по 8 лет лишения свободы

Киберпреступники-близнецы получили по 8 лет лишения свободы

Киберпреступники-близнецы получили по 8 лет лишения свободы

Вчера 18 июня, Савеловский районный суд Москвы вынес обвинительный приговор участникам хакерской группы, которую возглавляли братья-близнецы из Санкт-Петербурга Дмитрий и Евгений Попелыши. С марта 2013 по май 2015 года группа Попелышей получила доступ к более чем 7 000 счетов клиентов ведущих российских банков и похитила более 12,5 млн рублей. Любопытно, что атаки на клиентов банков Попелыши совершали, имея непогашенную судимость: ранее за кражи у клиентов банков они в 2012 году  получили условный срок. Криминалисты Group-IB участвовали в расследовании и выступали в суде в качестве экспертов и довели дело Попелышей до логического завершения — судебного приговора.

Первые атаки на клиентов банков 23-летние Попелыши вместе с 19-летним калининградским хакером Александром Сарбиным совершили в 2010 году. Преступники заражали компьютеры пользователей вирусом Trojan.Win32.VKhost, который при переходе к официальному интернет-банкингу одного из крупнейших российских банков перенаправлял клиента на фишинговую страницу. Здесь, под предлогом смены политики безопасности пользователю предлагалось ввести логин, пароль и код подтверждения со скретч-карты банка. Используя эти данные, преступники выводили деньги через подлинный сайт дистанционного банковского обслуживания (ДБО).

Только за период с сентября по декабрь 2010 года Сарбин и Попелыш похитили у 16 клиентов около 2 млн рублей, а к февралю 2011 года жертвами фишеров стали 170 клиентов российских банков из 46 регионов страны; преступники вывели около 13 миллионов рублей.

Весной 2011 года Попелышей и Сарбина задержали, однако злоумышленник отделались мягким приговором.  В сентябре 2012 года Чертановский районный суд Москвы приговорил их к шести годам лишения свободы условно с испытательным сроком 5 лет. Оказавшись на свободе, братья с размахом взялись за старое: они взяли на вооружение новые вредоносные программы «QHost» и «Patched.IB», автоматизировали процесс хищения и постоянно модернизировали сами вирусы, чтобы их не обнаруживали антивирусные системы.

Попелыши руководили  группой, в которую входили «программисты», «трафферы» — люди, которые распространяли вредоносные программы, «крипторы» – специалисты, которые проводили своевременное обновление (изменение) кода вредоносных программ, «дропы» — люди, которые занимаются обналичкой украденных денег, «прозвонщики».  Последние, в частности, представляясь сотрудниками банка, сами звонили клиентам, оставившим номер карты и телефона на поддельном сайте и убеждали жертв назвать код подтверждения перевода. Такой вид мошенничества называется вишинг  (англ. vishing, от voice phishing – голосовой фишинг) – тип фишинга, при котором для получения конфиденциальных данных используются голосовые коммуникации.

В период с марта 2013 по май 2015 года группировка Попелышей получила доступ к более чем 7 000 счетов клиентов различных российских банков и похитили более 12,5 млн рублей. Месячный доход братьев составлял в среднем от 500 тыс. до 1,5 млн руб. Деньги они тратили на покупку недвижимости и иномарки, типа Porsche Cayenne и BMW X5.

В мае 2015 года Попелышей повторно задержали в ходе совместной спецоперации МВД и ФСБ в Санкт-Петербурге. В качестве экспертов при обыске участвовали представители отдела расследований и киберкриминалисты Group-IB. Когда полицейский спецназ выпиливал металлическую дверь квартиры, где жили Попелыши, братья в панике пытались смыть в туалете полмиллиона рублей, флешки и сим-карты. На случай полицейской облавы у братьев был заготовлен даже электромагнитный излучатель для размагничивания компьютерных дисков.

Попелышам и их подельникам были предъявлены обвинения создании и использовании вредоносных программ (ст 273 УК РФ), в неправомерном доступе к компьютерной информации и (ст 272 УК РФ) и мошенничестве (ст. 159 Ук РФ).

«Учитывая значительное количество потерпевших и масштабный сбор доказательной базы, расследование и судебный процесс по «делу Попелышей» длились почти три года. Лишь на днях, уже в 2018 году, состоялся суд, позволивший довести до логического завершения и вынести приговор, — говорит руководитель отдела расследований Group-IB Сергей Лупанин. — В первый раз Попелыши получили слишком мягкий приговор — им дали условные сроки и они снова вернулись к своему преступному ремеслу. На этот раз – члены группы получили реальные сроки, 8 лет лишения свободы. Дело Попелышей — яркий пример того, что киберпреступность надо наказывать максимально жестко».

В понедельник, 18 июня, Савеловский суд Москвы признал вину подсудимых – Евгений и Дмитрий Попелыши получили по 8 лет лишения свободы, Сарбин  — 6 лет, Шарычев — 5 лет, Вьюков — 4 года, Бельский получил условный срок.

57% компаний не знают свою инфраструктуру, поэтому дольше расследуют атаки

Российские ИБ-команды по-прежнему вынуждены больше тушить пожары, чем предотвращать их. К такому выводу пришли аналитики компании «Гарда», изучив практики реагирования на киберинциденты в российских организациях. Главная проблема оказалась вполне ожидаемой — расследование инцидентов.

Для 33% компаний именно анализ логов и поиск индикаторов компрометации остаются самым трудоемким этапом реагирования. А в организациях с численностью свыше 5000 сотрудников этот показатель достигает 42%.

При этом далеко не все компании вообще знают, что происходит в собственной инфраструктуре. Исследование показало, что 57% организаций не проводят полную инвентаризацию и классификацию ИТ-активов. Из-за этого расследования затягиваются, а поиск источника атаки превращается в настоящий квест.

Еще одна хроническая болезнь отрасли — нехватка кадров. Более половины участников исследования признались, что специалистов по информационной безопасности попросту не хватает. Особенно остро проблема ощущается в компаниях с численностью от 250 до 1000 сотрудников, где на кадровый дефицит указали 70% респондентов.

С автоматизацией тоже все непросто. Хотя 52% компаний уже используют SIEM-системы, специализированные инструменты активного реагирования — XDR, SOAR, EDR и NDR — внедрены значительно реже. В результате многие процессы по-прежнему выполняются вручную.

Чаще всего автоматизируют самые очевидные действия: блокировку IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляцию зараженных устройств (35%).

Еще один любопытный вывод исследования — главными источниками головной боли остаются вовсе не сложные APT-группировки, а старые добрые фишинг и компрометация учетных записей. Человеческий фактор по-прежнему остается любимой точкой входа злоумышленников.

По словам руководителя продуктового направления «Гарды» Станислава Грибанова, по мере роста инфраструктуры расследовать атаки становится все сложнее. Поэтому рынок постепенно смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий — технологий, которые позволяют быстрее находить действительно опасные инциденты и освобождать аналитиков от рутинной работы.

RSS: Новости на портале Anti-Malware.ru