Американский суд отправил функционера FIN7 за решетку на десять лет

Американский суд отправил функционера FIN7 за решетку на десять лет

Американский суд отправил функционера FIN7 за решетку на десять лет

В окружном суде штата Вашингтон оглашен приговор по делу Федора Гладыря, отвечавшего за техподдержку операций криминальной группировки FIN7. За деятельное участие в компрометации миллионов банковских аккаунтов 35-летний украинец наказан лишением свободы на срок 10 лет.

Преступная группа FIN7, она же Carbanak, действует в интернете как минимум с 2015 года. По данным ФБР, эта ОПГ насчитывает более 70 участников, занимающихся взломами, разработкой вредоносных программ, рассылкой поддельных писем с вредоносными вложениями.

Все эти усилия направлены на кражу финансовой информации с целью дальнейшего использования или продажи. От действий FIN7 пострадали сотни организаций по всему миру, в том числе представители индустрии гостеприимства и игорные заведения США.

В разных американских штатах преступникам удалось скомпрометировать данные более 20 млн банковских карт путем взлома 6,5 млн платежных терминалов, используемых коммерсантами. Совокупный ущерб от деятельности данной ОПГ превышает 1 млрд долларов.

Согласно материалам дела, Гладырь выполнял в FIN7 функции системного администратора и в этой роли отвечал за сбор краденой информации, руководил действиями хакеров, поддерживал в рабочем состоянии используемые в атаках серверы и шифрованные каналы, используемые для обмена между участниками группировки.

Украинец был арестован в Германии в 2018 году по наводке ФБР и впоследствии выдан американским властям. В сентябре 2019-го он признал свою вину по вменяемым ему эпизодам интернет-мошенничества и взлома чужих компьютеров в составе преступной группы.

Хакеры угоняют WhatsApp руководителей и требуют перевести деньги

Мошенничество с письмом от директора вышло на новый уровень. Теперь злоумышленники не просто подделывают имя руководителя в письме, они перехватывают его WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) и рассылают сообщения от лица настоящего владельца аккаунта.

Новую схему, получившую название Boss Scam, описали специалисты, расследующие киберинциденты. Она сочетает социальную инженерию, технику сторонней загрузки DLL и кражу сессий WhatsApp Web.

Всё начинается с сообщения, якобы отправленного от имени регулятора или госоргана. Жертве предлагают срочно ознакомиться с документами или выполнить требования, прикладывая ZIP-архив. Внутри — исполняемый файл и DLL-библиотека. После запуска Windows автоматически подгружает вредоносную DLL, позволяя малвари закрепиться в системе.

 

Дальше цель меняется. Вместо шифрования файлов или уничтожения данных злоумышленников интересует активная сессия WhatsApp Web. Если она найдена, атакующие получают возможность читать переписку и отправлять сообщения от имени руководителя, не обходя двухфакторную аутентификацию на смартфоне.

Именно здесь начинается самое опасное. Финансовый отдел получает вполне привычное сообщение от генерального директора с просьбой срочно перевести деньги или изменить банковские реквизиты. Поскольку сообщение приходит с настоящего аккаунта, доверие к нему значительно выше, чем к обычному фишинговому письму.

В некоторых вариантах атаки вредонос также изменяет локальные контакты на заражённом компьютере, подменяя номер злоумышленника именем руководителя. Это помогает сохранить иллюзию подлинности даже после завершения угнанной веб-сессии.

Эксперты предупреждают, что атака нацелена не столько на ИТ-инфраструктуру, сколько на бизнес-процессы компаний. Поэтому защититься одним антивирусом не получится.

Специалисты рекомендуют подтверждать любые срочные платежные поручения через независимый канал связи (например, по телефону или лично), не запускать неизвестные EXE-файлы из мессенджеров, контролировать подключенные устройства в WhatsApp Web, а также отслеживать подозрительную загрузку DLL и попытки кражи пользовательских токенов.

RSS: Новости на портале Anti-Malware.ru