Украсть деньги через интернет сейчас не просто, а очень просто. В основном такая вредоносная деятельность осуществляется с помощью ботнетов. И вот на днях, как сообщает компания по расследованию компьютерных преступлений Group-IB, её специалистам удалось обнаружить крупный ботнет и выявить его владельца. С помощью него можно было похищать “ваучеры” иностранных пользователей соцсети Facebook.

Панель управления ботнетом. Нажмите, чтобы просмотреть полную версию

Группировка хакеров работала с 2009 года. Создателем и главой группировки являлся некто, известный под псевдонимами Гермес и Араши. Хакеры использовали программу Hodprot, с помощью которой была создана многомиллионная сеть ботов под названием “Оригами”. Она существовала с 2009 года, после чего переродилась в другую, более совершенную, основанную на программе Carberp.

Сначала Гермес сам контролировал её, а потом взял в соучастники партнёров, большая часть которых является гражданами Украины. В группировке принимали участие до 25 человек, однако доказать вину Гермеса было сложно, так как он уже долгое время только координировал деятельность партнёров, не управляя ботнетом напрямую.

Панель управления RDPDoor3. Нажмите, чтобы просмотреть полную версию

Преступники также пользовались программой RDPdoor для того, чтобы совершать хищения непосредственно с компьютера жертвы. Интерфейс для управления ею написал сам Гермес. К октябрю 2011 года на сервере управления сетью было зарегистрировано 770 тысяч инфицированных машин, но уже к маю 2012 года их число достигло шести миллионов. Всего же фактически действующих заражённых компьютеров было около 60-70 тысяч. Злоумышленники пользовались эксплоитами BlackHole, а потом перешли на Nuclear Pack.

Специалистам Group-IB удалось установить факт хищения 150 миллионов рублей у жертв ботнета, но фактическая сумма, как написано в пресс-релизе компании, в десятки раз превышала эту цифру. ФСБ задержала Гермеса в Краснодаре, и он предстанет перед судом.