Оператор Raccoon Stealer задержан

[admin]

26-летний гражданин Украины Марк Соколовский был обвинен в причастности к киберпреступной операции "Raccoon Stealer - вредоносное ПО как услуга" (MaaS).

Raccoon Stealer - это троян для кражи информации, распространяемый по модели MaaS (malware-as-a-service), который угрожающие лица могут арендовать за 75 долларов в неделю или 200 долларов в месяц.

Подписчики также получают доступ к панели администратора, позволяющей настраивать вредоносное ПО, получать украденные данные (также известные как логи) и создавать новые сборки вредоносного ПО.

Raccoon Stealer очень популярен, поскольку он похищает широкий спектр информации с зараженных устройств, например, сохраненные учетные данные и информацию браузера, кредитные карты, криптовалютные кошельки, данные электронной почты и другие конфиденциальные данные из многочисленных приложений.

Соколовский (также известный в сети как raccoonstealer, Photix и black21jack77777, согласно нераспечатанному обвинительному заключению) был арестован в марте 2022 года и в настоящее время находится в тюрьме в Нидерландах в ожидании экстрадиции в США.

Пока власти Нидерландов арестовывали обвиняемого, ФБР и партнеры правоохранительных органов в Нидерландах и Италии демонтировали инфраструктуру Raccoon Infostealer и вывели существующую версию вредоносной программы в автономный режим.

Примерно в то же время, когда был произведен арест, BleepingComputer сообщил, что киберпреступная группа Raccoon Stealer приостановила свою деятельность после того, как на русскоязычных хакерских форумах заявила, что один из ее ведущих разработчиков был убит во время вторжения в Украину.

С тех пор деятельность Raccoon Stealer возобновилась в начале июня с выпуском новой версии, созданной с нуля с использованием языка C/C++ и имеющей новый бэкэнд, фронтэнд, а также новые возможности для кражи данных.
Панель Raccoon Stealer 2.0
Raccoon-dashboard.png

Панель Raccoon Stealer 2.0 (@3xp0rtblog)

С марта ФБР собирает часть данных, похищенных киберпреступниками с помощью вредоносной программы Raccoon Stealer с зараженных компьютеров.

"Хотя точное число еще предстоит проверить, агенты ФБР выявили более 50 миллионов уникальных учетных данных и форм идентификации (адреса электронной почты, банковские счета, адреса криптовалют, номера кредитных карт и т.д.) в украденных данных, полученных от миллионов потенциальных жертв по всему миру", - говорится в сегодняшнем пресс-релизе Министерства юстиции.

"Учетные данные, по-видимому, включают более четырех миллионов адресов электронной почты. Соединенные Штаты не считают, что они владеют всеми данными, похищенными Raccoon Infostealer, и продолжают расследование".

ФБР также создало веб-сайт , на котором любой желающий может проверить, содержатся ли его данные в правительственном архиве украденной информации Raccoon Stealer. Те, чьи данные были украдены, получат подтверждение по электронной почте с дополнительной информацией.


source:
justice[.]gov/usao-wdtx/pr/newly-unsealed-indictment-charges-ukrainian-national-international-cybercrime-operation
raccoon.ic3.gov/home

 

[admin]

Заявление команды Raccoon Stealer по поводу новостей о задержании одного из участников проекта.

Наш напарник пропал в момент начала СВО. Все что мы знали о нем, то, что он живет в Киеве. Мы потеряли с ним связь в момент наступления на Киев. Само собой мы подумали самое худшее. Никаких новостей о нем у нас не было. С

Мы никогда не заявляли, что он погиб в СВО, это уже инет байка. Для нас он пропал без вести в момент начала войны. Мы очень рады тому факту, что он цел и невредим!
Повторюсь, мы не были знакомы лично и не можем подтвердить, что именно этот человек имел причастие к проекту.

Информация, выложенная спецслужбами относится к версии 1.0. Мы не хранили никаких данных клиентов, так что беспокоиться ни о чем не стоит.

На данный момент проект 2.х работает, все члены проекта доступны, сервера находятся в безапасности.

 

[admin]

Кребс нарыл новых занятных подробностей о Марке Соколовском, арестованном в марте ключевом разработчике Racoon Stealer. На момент известных событий товарищ проживал в Харькове, но вскоре сбежал, судя по всему, подкупив пограничников. Однако наш антигерой не знал, что за ним давно следило ФБР.

Соколовский в одном из своих ранних постов допустил опсек-ошибку, по которой его форумный Gmail-аккаунт под продвижение Racoon Stealer связали с iCloud-хранилищем. И когда его телефон в марте внезапно всплыл в Польше, дело было за малым. Любитель красивой жизни сбежал от мобилизации в родной стране на Порше Кайен вместе с подружкой, но пару дней спустя его приняли в Нидерландах. Что ж, переиграть судьбу Соколовскому в итоге не удалось. По совокупности обвинений ему грозит до 25 лет тюрьмы.

26-летний украинец ожидает экстрадиции из Нидерландов в США по обвинению в том, что он выступал в качестве основного разработчика Raccoon, популярного "вредоносного ПО как услуги", которое помогало платным клиентам красть пароли и финансовые данные миллионов жертв киберпреступлений. Как стало известно KrebsOnSecurity, обвиняемый был задержан в марте 2022 года, после того как сбежал с обязательной военной службы в Украине в течение нескольких недель после российского вторжения.

sokolovskyborder-768x433.png


Гражданин Украины Марк Соколовский, изображенный здесь в автомобиле Porsche Cayenne 18 марта, бежал с обязательной военной службы в Украине. Этот снимок был сделан польскими пограничными властями, когда автомобиль Соколовского въезжал в Германию. Изображение: KrebsOnSecurity.com.

На прошлой неделе прокурор США по Западному округу Техаса обнародовал обвинительное заключение, в котором Марк Соколовский назван основным разработчиком бизнеса Raccoon Infostealer, который с 2019 года рекламировался на нескольких русскоязычных киберпреступных форумах.

Raccoon был по сути веб-панелью управления, где - за 200 долларов в месяц - клиенты могли получить последнюю версию вредоносной программы Raccoon Infostealer и взаимодействовать с зараженными системами в режиме реального времени. Эксперты по безопасности утверждают, что пароли и другие данные, похищенные вредоносной программой Raccoon, часто перепродавались группам, занимающимся распространением программ-выкупов.

Работая со следователями в Италии и Нидерландах, власти США изъяли копию сервера, используемого Raccoon для помощи клиентам в управлении их ботнетами. По данным Министерства юстиции США, агенты ФБР выявили более 50 миллионов уникальных учетных данных и форм идентификации (адреса электронной почты, банковские счета, криптовалютные адреса, номера кредитных карт и т.д.), похищенных с помощью Raccoon.

raccoonpanel.png


Веб-панель Raccoon v. 1, где клиенты могли осуществлять поиск по зараженному IP, а также украденные файлы cookie, кошельки, домены и пароли.

В обнародованном обвинительном заключении (PDF) мало говорится о том, как следователи связали Соколовского с Raccoon, но два источника, близких к расследованию, поделились дополнительной информацией об этом процессе на условиях анонимности, поскольку они не имели права публично обсуждать это дело.

По словам этих источников, американские власти остановились на оперативной ошибке безопасности, которую разработчик Raccoon допустил в самом начале своих сообщений на криминальных форумах, связав учетную запись Gmail на киберпреступном форуме, используемую разработчиком Raccoon ("Photix"), с учетной записью Apple iCloud, принадлежащей Соколовскому. Например, в обвинительном заключении приводится фотография, которую следователи запросили из аккаунта Соколовского в iCloud, на которой он позирует с несколькими пачками денег.

marks-stacks.png


Селфи из аккаунта Марка Соколовского в iCloud. Изображение: МИНЮСТ США.

Когда Россия вторглась в Украину в конце февраля 2022 года, Соколовский жил в Харькове, городе на северо-востоке Украины, который вскоре подвергся мощному артиллерийскому обстрелу со стороны российских войск. Власти, отслеживающие аккаунт Соколовского в iCloud, несколько недель наблюдали за его перемещениями между Харьковом и украинской столицей Киевом, но 18 марта 2022 года его телефон неожиданно появился в Польше.

Следователи узнали от польских пограничников, что Соколовский бежал из Украины на автомобиле Porsche Cayenne вместе с молодой блондинкой, оставив свою мать и других родственников. На снимке в верхней части этого сообщения, которым поделились с американскими следователями сотрудники пограничной службы Польши, видно, что Соколовский выехал из Польши в Германию 18 марта.

В то время все трудоспособные мужчины военного возраста должны были явиться на службу, чтобы помочь отразить российское вторжение, и выезд Соколовского из Украины без разрешения был бы незаконным. Но оба источника сообщили, что, по мнению следователей, Соколовский дал взятку пограничникам, чтобы их пропустили.

Власти вскоре отследили телефон Соколовского через Германию и, в конечном итоге, до Нидерландов, а его спутница помогала документировать каждый шаг путешествия на своем аккаунте в Instagram. Вот фотография, на которой они обнимаются по прибытии на площадь Дам в Амстердаме:

marks-damsquare-768x708.png


Власти Нидерландов арестовали Соколовского 20 марта и быстро установили контроль над инфраструктурой Raccoon Infostealer. Тем временем, 25 марта аккаунты, ранее рекламировавшие вредоносную программу Raccoon Stealer на киберпреступных форумах, объявили о закрытии сервиса. В прощальном сообщении для клиентов ничего не говорилось об аресте, а вместо этого делался намек на то, что основные члены, отвечавшие за проект вредоносного ПО как услуги, погибли во время российского вторжения.

"К сожалению, из-за "спецоперации" мы вынуждены закрыть наш проект Raccoon Stealer", - объявила команда 25 марта. "Членов нашей команды, которые отвечали за критически важные компоненты продукта, больше нет с нами. Спасибо за этот опыт и время, за каждый день, к сожалению, все, рано или поздно, конец МИРА приходит к каждому".

Решение об экстрадиции Соколовского в США было принято, но он обжалует это решение. Ему грозит один пункт обвинения в сговоре с целью совершения компьютерного мошенничества, один пункт обвинения в сговоре с целью совершения проводного мошенничества, один пункт обвинения в сговоре с целью отмывания денег и один пункт обвинения в краже личных данных при отягчающих обстоятельствах.

Источники сообщили KrebsOnSecurity, что Соколовский консультировался с адвокатом из Хьюстона, штат Техас, Ф. Андино Рейналом, тем самым адвокатом, который представлял интересы Алекса Джонса в недавнем иске о клевете против Джонса и его сайта теории заговора Infowars. Рейнал был ответственен за то, что сам Джонс назвал "Перри Мейсоном", когда адвокат истца обнаружил, что Рейнал по неосторожности передал им полную цифровую копию мобильного телефона Джонса. Г-н Рейнал не ответил на просьбу о комментарии.

В случае вынесения обвинительного приговора Соколовскому грозит максимальное наказание в виде 20 лет лишения свободы за мошенничество и отмывание денег, пять лет за сговор с целью совершения компьютерного мошенничества и обязательный последовательный двухлетний срок за кражу личных данных при отягчающих обстоятельствах.

Министерство юстиции создало веб-сайт raccoon.ic3.gov, на котором посетители могут проверить, не фигурирует ли их адрес электронной почты в данных, собранных службой Raccoon Stealer.

raccoon-ic3-768x502.png


source: krebsonsecurity.com/2022/10/accused-raccoon-malware-developer-fled-ukraine-after-russian-invasion

 

[snowexp]

не перестаю удивляться таким ошибкам, типа рабочей почты в айкладах и тп.

 

[admin]

Нидерланды передали США Марка Соколовского, предполагаемого создателя и оператора MaaS-сервиса (Malware-as-a-Service, зловред как услуга) на базе инфостилера Raccoon. Украинцу уже предъявили обвинения и заключили под стражу до суда.

Соколовского арестовали по наводке ФБР в марте 2022 года. Одновременно американские силовики вместе итальянскими и с голландскими коллегами обезвредили инфраструктуру Raccoon (версии 1.0) и начали собирать информацию о жертвах заражения.

На настоящий момент удалось выявить более 50 млн уникальных учеток и других идентификаторов, похищенных вредоносом.

В США против Соколовского выдвинули обвинения в преступном сговоре с целью мошенничества, нанесения вреда чужим компьютерам, отмывания денег, а также в кражи личных данных с отягчающими обстоятельствами.

Экстрадицию из Нидерландов украинец пытался оспорить, но в итоге был отправлен за океан для участия в судебном процессе.

ФБР продолжает собирать сведения о жертвах Raccoon. Оставшиеся на свободе разработчики зловреда тем временем выпустили новую версию, повысив быстродействие, и теперь совершенствуют ее в рамках ожившего MaaS-сервиса.

sc: justice[.]gov/usao-wdtx/pr/ukrainian-national-extradited-us-alleged-cybercrimes

 

[stihl]

Украинский гражданин Марк Соколовский был приговорен сегодня к пяти годам лишения свободы за участие в киберпреступной операции, связанной с вредоносным ПО Raccoon Stealer.

Согласно рассекреченным материалам суда, Соколовский (известный также как raccoon-stealer, Photix и black21jack77777) и его соучастники сдавали вредоносное ПО в аренду другим злоумышленникам по модели MaaS (вредоносное ПО как услуга) за $75 в неделю или $200 в месяц.

После заражения устройства Raccoon Stealer собирает и крадет широкий спектр данных, включая учетные данные, криптовалютные кошельки, данные кредитных карт, электронную почту и другую конфиденциальную информацию из десятков приложений.
В марте 2022 года полиция арестовала Марка Соколовского в Нидерландах. ФБР также отключило вредоносное ПО, ликвидировав его инфраструктуру в рамках совместной операции с правоохранительными органами Нидерландов и Италии.

Киберпреступная группа Raccoon Stealer приостановила свою деятельность примерно во время ареста Соколовского, заявив, что один из их ведущих разработчиков погиб во время вторжения России в Украину. С тех пор операция с использованием вредоносного ПО неоднократно возобновлялась, причем новые версии добавляли расширенные возможности кражи данных.

Соколовский был экстрадирован в США в феврале 2024 года после того, как в октябре 2022 года ему были предъявлены обвинения в мошенничестве, отмывании денег и умышленной краже личных данных. Спустя год он признал свою вину и согласился выплатить не менее $910,844.61 в качестве возмещения ущерба.

«Марк Соколовский был ключевой фигурой в международном криминальном заговоре, который нанес ущерб бесчисленному количеству жертв, распространяя вредоносное ПО, которое удешевляло и упрощало совершение сложных киберпреступлений даже для любителей», — заявил сегодня прокурор США Хайме Эспарза.
«Инфостилер Соколовского был ответственен за компрометацию более 52 миллионов учетных данных пользователей, которые затем использовались для мошенничества, кражи личных данных и атак программ-вымогателей на миллионы жертв по всему миру», — добавил специальный агент ФБР Аарон Тэпп.

После ликвидации инфраструктуры Raccoon Stealer в марте 2022 года ФБР также создало веб-сайт, чтобы помочь жертвам проверить, была ли их информация включена в украденные данные, собранные с помощью этого вредоносного ПО.