Власти США заполучили румына, помогавшего прятать хостинг банкера Gozi

Власти США заполучили румына, помогавшего прятать хостинг банкера Gozi

Власти США заполучили румына, помогавшего прятать хостинг банкера Gozi

Колумбия передала США Михая Паунеску (Mihai Ionut Paunescu), которого в прошлом году повторно арестовали по просьбе американских властей. На новом месте 37-летнему иностранцу с двойным гражданством, Румынии и Латвии, придется отвечать перед законом: его обвиняют в пособничестве распространению Gozi — Windows-зловреда, поразившего более 1 млн компьютеров по всему миру.

Банковский троян Gozi, он же Ursnif и Papras, объявился в интернете в конце 2006 года. Вредонос имел модульную структуру и воровал данные, перехватывая трафик и на лету подменяя страницы систем онлайн-банкинга.

В США вредоносу, по данным ФБР, удалось проникнуть как минимум на 40 тыс. машин, в том числе на полторы сотни компьютеров НАСА. Совокупный ущерб от деятельности банкера американцы оценили в десятки млн долларов.

Румын Паунеску, по версии следствия, с 2011 года предоставлял киберкриминалу услуги bulletproof-хостинга. Он арендовал серверы и IP-адреса у легитимных провайдеров, а затем сам сдавал их в аренду и мониторил актуальные черные списки. В тех случаях, когда клиент сталкивался с блокировкой, хостер помогал ему перенести данные в другую сеть.

ИТ-инфраструктурой Паунеску, известного в Сети как Virus, охотно пользовались операторы мощных банкеров ZeuS и SpyEye. Его серверы зачастую задействовались для проведения DDoS-атак (в качестве C2) и массовой рассылки спама.

Первый раз предприимчивого румына арестовали на родине — в конце 2012 года, тоже по запросу США. В начале 2013-го в штате Нью-Йорк были оглашены обвинения по делу о распространении Gozi; ответчиками, кроме Паунеску, числились россиянин Никита Кузьмин и гражданин Латвии Денис Чаловский.

Кузьмин, как он сам впоследствии признался, стоял у истоков Gozi-сервиса; его задержали в 2011 году в Калифорнии. Арест Чаловского, которого россиянин нанял для развития своего проекта, состоялся на полтора года позже — в Латвии. Оба подельника были осуждены в 2016 году и получили тюремные сроки, которые к тому времени уже отбыли.

Паунеску повезло больше: румынские власти отпустили его под залог, и он оставался на свободе до второго ареста — в прошлом году, уже в Колумбии. В США против него выдвинуты обвинения во взломе чужих компьютеров, банковском мошенничестве и противоправном использовании проводной связи — все в составе преступной группы. По совокупности румыну грозит до 30 лет лишения свободы.

ГК «Солар» и SEG-T разрабатывают почтовый шлюз с ИИ-фильтрацией

Ко-фаундер Secure-T Харитон Никишкин при поддержке ГК «Солар» запустил разработку решения SEG-T для защиты корпоративной почты. Продукт относится к классу security email gateway и должен фильтровать входящий и исходящий почтовый трафик с помощью мультиагентного ИИ.

Разработчики связывают запуск проекта с ростом фишинговых атак.

Сегодня такие кампании всё чаще собираются из готовых инструментов: панелей управления, инфраструктуры рассылки, антибот-механизмов, модулей перехвата одноразовых кодов и других компонентов. Дополнительно атакующие используют ИИ, чтобы быстрее готовить убедительные письма и масштабировать обман.

SEG-T должен анализировать сообщения не только по техническим признакам, но и по смыслу. ИИ будет оценивать тональность письма, признаки манипуляции, попытки вызвать доверие, страх или срочно подтолкнуть адресата к действию. Также система сможет блокировать письма со ссылками, архивами, PDF, исполняемыми файлами, SVG и другими вложениями, которые могут содержать вредоносный контент.

От отдельной встроенной «песочницы» разработчики отказались. По их оценке, значительная часть современных атак строится не на вредоносном коде, а на социальной инженерии: подмене отправителя, психологическом давлении и попытках заставить пользователя самому выполнить нужное действие. Для критичных вложений при этом планируют оставить возможность подключать внешние «песочницы».

Решение также предполагается использовать вместе с другими продуктами «Солара»: например, с Solar webProxy для проверки трафика и Solar Dozor для контроля пересылки персональных данных — ИНН, СНИЛС, паспортных данных и номеров банковских карт.

SEG-T будет доступен в облаке, локальной сети и Kubernetes. По заявлению разработчиков, запуск продукта в эксплуатацию в среднем должен занимать около 15 минут.

В проекте «Солару» принадлежит 49%. Ранее компания уже увеличила долю в Secure-T до контрольного пакета. Новый проект продолжает направление, связанное с защитой от фишинга, спама, вредоносных рассылок и атак на корпоративную почту.

RSS: Новости на портале Anti-Malware.ru