stihl не предоставил(а) никакой дополнительной информации.
В США предъявлены обвинения 16 фигурантам дела о вредоносной программе DanaBot — одной из самых устойчивых и широко распространённых инфостилер-платформ, появившейся ещё в 2018 году. По данным ФБР, вторая версия программы использовалась не только для кражи данных, но и для кибер шпионажа . Примечательно, что многие обвиняемые сами же себя и выдали — заразив собственные компьютеры вредоносом и тем самым оставив цифровой след.
Изначально DanaBot была замечена в мае 2018 года. Она продавалась по модели Malware-as-a-Service (MaaS) и специализировалась на хищении учётных данных, а также банковском мошенничестве. Согласно материалам дела, доступ к платформе обходился афилированным киберпреступникам в сумму от 3 до 4 тысяч долларов в месяц. К 2022 году таких пользователей насчитывалось не менее 40.
По оценке американских властей, вирус заразил более 300 тысяч устройств по всему миру и нанёс ущерб свыше 50 миллионов долларов. Главными организаторами схемы названы «JimmBee» и «Onix». «Onix», как указано в документах, работает IT-инженером. В соцсетях он появлялся под псевдонимом «Maffiozi».
Следствие установило наличие двух ключевых версий вредоносной программы. Первая распространялась до июня 2020 года и была ориентирована на финансовые преступления. Вторая, появившаяся в январе 2021 года, уже применялась в рамках целенаправленного шпионажа — заражались компьютеры государственных структур, дипломатических ведомств и НКО в США, Великобритании, Германии и Беларуси.
В обвинительном заключении утверждается, что использовалась специально модифицированная шпионская версия, позволявшая перехватывать дипломатическую переписку, финансовые операции сотрудников посольств и сведения о взаимодействиях между государствами. В некоторых случаях вредонос загружал на серверы файлы, содержащие резюме диалогов между дипломатами по линии США.
В 2022 году ФБР удалось конфисковать управляющие серверы DanaBot, а также хранилища, где находились украденные данные. В этих хранилищах аналитики обнаружили и случайно загруженные личные файлы самих злоумышленников — в ряде случаев заражения происходили по ошибке, в других — осознанно, в целях тестирования или отладки вируса.
Как говорится в заявлении Министерства юстиции США, операция сопровождалась арестом управляющих серверов в том числе и на территории США — речь идёт о десятках виртуальных машин. Пострадавшим организациям и пользователям сейчас направляются уведомления, а правительство совместно с технологическими компаниями оказывает поддержку в ликвидации последствий.
Примечательно, что публичное предъявление обвинений фигурантам дела о DanaBot произошло сразу после того, как Microsoft объявила об успешном вмешательстве в инфраструктуру другого вредоноса — Lumma Stealer. Этот малварь также распространялся по модели подписки, от $250 до $1 000 в месяц. Корпорация также инициировала гражданский иск о передаче под её контроль более 2 300 доменов, которые использовались злоумышленниками для управления вредоносом.
• Source: https://www.justice[.]gov/usao-cdca/pr/16-defendants-federally-charged-connection-danabot-malware-scheme-infected-computers
• Source: https://www.proofpoint[.]com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0
ЛОС-АНДЖЕЛЕС — Сегодня было обнародовано федеральное обвинительное заключение большого жюри и уголовное дело против 16 обвиняемых, которые предположительно разработали и внедрили вредоносную программу DanaBot, контролируемую российской киберпреступной организацией, которая заразила более 300 000 компьютеров по всему миру, способствовала мошенничеству и вымогательству и нанесла ущерб на сумму не менее 50 миллионов долларов.
Среди обвиняемых — 39-летний Александр Степанов, также известный как a.k.a. “JimmBee,” и 34-летний Артем Александрович Калинкин, также известный как a.k.a. “Onix”, оба из Новосибирска, Россия. Степанову было предъявлено обвинение в сговоре, сговоре с целью совершения мошенничества с использованием электронных средств связи и банковского мошенничества, краже личных данных при отягчающих обстоятельствах, несанкционированном доступе к защищенному компьютеру с целью получения информации, несанкционированном повреждении защищенного компьютера, прослушивании телефонных разговоров и использовании перехваченных сообщений.
Калинкину было предъявлено обвинение в сговоре с целью получения несанкционированного доступа к компьютеру для получения информации, в получении несанкционированного доступа к компьютеру с целью мошенничества, а также в несанкционированном повреждении защищенного компьютера. Считается, что оба обвиняемых находятся в России и не находятся под стражей.
Согласно обвинительному заключению и жалобе, вредоносное ПО DanaBot использовало различные методы для заражения компьютеров жертв, включая спам-сообщения электронной почты с вредоносными вложениями или гиперссылками. Компьютеры жертв, заражённые вредоносным ПО DanaBot, становились частью ботнета (сети скомпрометированных компьютеров), что позволяло операторам и пользователям ботнета удалённо координировать действия заражённых компьютеров. Владельцы и операторы компьютеров жертв, как правило, не знали о заражении.
Вредоносная программа DanaBot предположительно работала по модели «вредоносная программа как услуга», когда администраторы предоставляли доступ к ботнету и инструментам поддержки клиентам-сообщникам за плату, которая обычно составляла несколько тысяч долларов в месяц. Вредоносная программа DanaBot была многофункциональной и обладала широкими возможностями для эксплуатации компьютеров жертв. Ее можно было использовать для кражи данных с компьютеров жертв, перехвата банковских сеансов, кражи информации об устройстве, истории просмотров, сохраненных учетных данных и информации о кошельке виртуальной валюты.
DanaBot также имел возможность предоставлять полный удалённый доступ к компьютерам жертв, записывать нажатия клавиш и снимать видео, демонстрирующее активность пользователей на компьютерах жертв. Кроме того, DanaBot использовался в качестве начального средства заражения другими видами вредоносного ПО, в том числе программами-вымогателями. Вредоносная программа DanaBot заразила более 300 000 компьютеров по всему миру и нанесла ущерб, оцениваемый более чем в 50 миллионов долларов.
Администраторы DanaBot управляли второй версией ботнета, которая использовалась для заражения компьютеров в военных, дипломатических, правительственных и связанных с ними организациях. Эта версия ботнета записывала все взаимодействия с компьютером и отправляла украденные данные на другой сервер, отличный от сервера, ориентированного на мошенничество с помощью DanaBot. Этот вариант предположительно использовался для заражения дипломатов, сотрудников правоохранительных органов и военнослужащих в Северной Америке и Европе.
«Вредоносные программы, такие как DanaBot, наносят ущерб сотням тысяч жертв по всему миру, в том числе важным военным, дипломатическим и государственным организациям, и приводят к многомиллионным убыткам, — заявил прокурор Центрального округа Калифорнии Билл Эссайли. — Обвинения и действия, о которых мы объявили сегодня, демонстрируют нашу приверженность искоренению самых серьёзных угроз глобальной кибербезопасности и преследованию самых злонамеренных киберпреступников, где бы они ни находились».
«Объявленные сегодня принудительные меры, ставшие возможными благодаря прочным партнёрским отношениям между правоохранительными органами и представителями отрасли по всему миру, нанесли значительный ущерб группе киберпреступников, которые наживались на краже данных жертв и атаках на уязвимые сети», — заявил специальный агент Кеннет ДеЧеллис из Управления генерального инспектора Министерства обороны, Служба уголовных расследований Министерства обороны (DCIS), Кибернетическое полевое управление. «Вредоносная программа DanaBot представляла собой явную угрозу для Министерства обороны и наших партнёров. DCIS будет решительно защищать нашу инфраструктуру, персонал и интеллектуальную собственность».
«Сегодняшнее объявление представляет собой значительный шаг вперед в продолжающихся усилиях ФБР по разрушению и ликвидации киберпреступной экосистемы, которая наносит ущерб глобальной цифровой безопасности», — заявила специальный агент Ребекка Дэй из полевого офиса ФБР в Анкоридже. «Мы благодарны нашим отечественным и международным партнерам по правоохранительной деятельности за скоординированные усилия по привлечению киберпреступников к ответственности, где бы они ни действовали».
Обвинительное заключение — это всего лишь предположение. Все обвиняемые считаются невиновными до тех пор, пока их вина не будет доказана в суде с вероятностью, превышающей разумные сомнения.
В случае признания виновным Калинкину грозит максимальный срок в 72 года лишения свободы в федеральной тюрьме, а Степанову — максимальный срок в пять лет лишения свободы в федеральной тюрьме.
В рамках сегодняшней операции агенты Службы уголовных расследований Министерства обороны (DCIS) осуществили изъятие и блокировку серверов управления DanaBot, в том числе десятков виртуальных серверов, расположенных в Соединённых Штатах. Правительство США в настоящее время работает с партнёрами, включая фонд Shadowserver Foundation, чтобы уведомить жертв DanaBot и помочь устранить последствия заражения.
Эти действия правоохранительных органов были предприняты в рамках операции «Operation Endgame» — продолжающейся скоординированной работы международных правоохранительных органов, направленной на ликвидацию и судебное преследование киберпреступных организаций по всему миру.
Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team CYMRU и ZScaler оказали ценную помощь.
Расследованием деятельности DanaBot руководили региональное отделение ФБР в Анкоридже и Служба уголовных расследований Министерства обороны, которые тесно сотрудничали с Федеральным криминальным ведомством Германии (BKA), Национальной полицией Нидерландов и Федеральной полицией Австралии. Управление по международным делам Министерства юстиции оказало значительную помощь.
Помощник прокурора США Аарон Фрумкин из отдела по борьбе с киберпреступлениями и преступлениями в сфере интеллектуальной собственности ведёт эти дела. Помощник прокурора США Джеймс Э. Дочерман из отдела конфискации и возврата активов занимается делом о конфискации.
• Source: https://www.justice[.]gov/usao-cdca/media/1401356/dl?inline
• Source: https://www.justice[.]gov/usao-cdca/media/1401361/dl?inline
• Source: https://www.operation-endgame[.]com/
ARTEM ALEKSANDROVICH KALiNKiN
a.k.a. “Onix”
ALEKSANDR STEPANOV,
a.k.a "JimmBee,"
a.k.a "Clay Barton,"
a.k.a "Monster,"
DANIL KHALITOV,
a.k.a "Flawless,"
a.k.a "Dancho,"
FNU LNU,
a.k.a "Pin Plus,"
a.k.a "Pin,"
ALEKSEY EFREMOV,
a.k.a "Ahost,"
KAMIL SZTURGUL~WSKI,
a.k.a "RaZZputin,"
a.k.a "bank666,"
a.k.a "kgb666,"
IBRAHIM IDOWU,
a.k.a "daveedo,"
a.k.a "audrops,"
a.k.a "sostransfer,"
a.k.a "Ronald 22,"
a.k.a "Ronshop,"
ARTEM SHUBIN,
a.k.a "Krad,"
ALEKSEY KHUDYAKOV,
a.k.a "Bshayne,"
a.k.a "Moddixpb,"
a.k.a "BarboSpidor,"
FNU LNU,
a.k.a "Format,"
FNU LNU,
a.k.a "Goldcoin,"
FNU LNU,
a.k.a "Matrix8,"
FNU LNU,
a.k.a "HirO,"
FNU LNU,
a.k.a "Chopin,"
FNU LNU,
a.k.a "Benzz,"
FNU LNU,
a.k.a "Limp,"
FNU LNU,
a.k.a "Benzz,"
FNU LNU,
a.k.a "Limp,"
Изначально DanaBot была замечена в мае 2018 года. Она продавалась по модели Malware-as-a-Service (MaaS) и специализировалась на хищении учётных данных, а также банковском мошенничестве. Согласно материалам дела, доступ к платформе обходился афилированным киберпреступникам в сумму от 3 до 4 тысяч долларов в месяц. К 2022 году таких пользователей насчитывалось не менее 40.
По оценке американских властей, вирус заразил более 300 тысяч устройств по всему миру и нанёс ущерб свыше 50 миллионов долларов. Главными организаторами схемы названы «JimmBee» и «Onix». «Onix», как указано в документах, работает IT-инженером. В соцсетях он появлялся под псевдонимом «Maffiozi».
Следствие установило наличие двух ключевых версий вредоносной программы. Первая распространялась до июня 2020 года и была ориентирована на финансовые преступления. Вторая, появившаяся в январе 2021 года, уже применялась в рамках целенаправленного шпионажа — заражались компьютеры государственных структур, дипломатических ведомств и НКО в США, Великобритании, Германии и Беларуси.
В обвинительном заключении утверждается, что использовалась специально модифицированная шпионская версия, позволявшая перехватывать дипломатическую переписку, финансовые операции сотрудников посольств и сведения о взаимодействиях между государствами. В некоторых случаях вредонос загружал на серверы файлы, содержащие резюме диалогов между дипломатами по линии США.
В 2022 году ФБР удалось конфисковать управляющие серверы DanaBot, а также хранилища, где находились украденные данные. В этих хранилищах аналитики обнаружили и случайно загруженные личные файлы самих злоумышленников — в ряде случаев заражения происходили по ошибке, в других — осознанно, в целях тестирования или отладки вируса.
Как говорится в заявлении Министерства юстиции США, операция сопровождалась арестом управляющих серверов в том числе и на территории США — речь идёт о десятках виртуальных машин. Пострадавшим организациям и пользователям сейчас направляются уведомления, а правительство совместно с технологическими компаниями оказывает поддержку в ликвидации последствий.
Примечательно, что публичное предъявление обвинений фигурантам дела о DanaBot произошло сразу после того, как Microsoft объявила об успешном вмешательстве в инфраструктуру другого вредоноса — Lumma Stealer. Этот малварь также распространялся по модели подписки, от $250 до $1 000 в месяц. Корпорация также инициировала гражданский иск о передаче под её контроль более 2 300 доменов, которые использовались злоумышленниками для управления вредоносом.
• Source: https://www.justice[.]gov/usao-cdca/pr/16-defendants-federally-charged-connection-danabot-malware-scheme-infected-computers
• Source: https://www.proofpoint[.]com/us/threat-insight/post/danabot-new-banking-trojan-surfaces-down-under-0
ЛОС-АНДЖЕЛЕС — Сегодня было обнародовано федеральное обвинительное заключение большого жюри и уголовное дело против 16 обвиняемых, которые предположительно разработали и внедрили вредоносную программу DanaBot, контролируемую российской киберпреступной организацией, которая заразила более 300 000 компьютеров по всему миру, способствовала мошенничеству и вымогательству и нанесла ущерб на сумму не менее 50 миллионов долларов.
Среди обвиняемых — 39-летний Александр Степанов, также известный как a.k.a. “JimmBee,” и 34-летний Артем Александрович Калинкин, также известный как a.k.a. “Onix”, оба из Новосибирска, Россия. Степанову было предъявлено обвинение в сговоре, сговоре с целью совершения мошенничества с использованием электронных средств связи и банковского мошенничества, краже личных данных при отягчающих обстоятельствах, несанкционированном доступе к защищенному компьютеру с целью получения информации, несанкционированном повреждении защищенного компьютера, прослушивании телефонных разговоров и использовании перехваченных сообщений.
Калинкину было предъявлено обвинение в сговоре с целью получения несанкционированного доступа к компьютеру для получения информации, в получении несанкционированного доступа к компьютеру с целью мошенничества, а также в несанкционированном повреждении защищенного компьютера. Считается, что оба обвиняемых находятся в России и не находятся под стражей.
Согласно обвинительному заключению и жалобе, вредоносное ПО DanaBot использовало различные методы для заражения компьютеров жертв, включая спам-сообщения электронной почты с вредоносными вложениями или гиперссылками. Компьютеры жертв, заражённые вредоносным ПО DanaBot, становились частью ботнета (сети скомпрометированных компьютеров), что позволяло операторам и пользователям ботнета удалённо координировать действия заражённых компьютеров. Владельцы и операторы компьютеров жертв, как правило, не знали о заражении.
Вредоносная программа DanaBot предположительно работала по модели «вредоносная программа как услуга», когда администраторы предоставляли доступ к ботнету и инструментам поддержки клиентам-сообщникам за плату, которая обычно составляла несколько тысяч долларов в месяц. Вредоносная программа DanaBot была многофункциональной и обладала широкими возможностями для эксплуатации компьютеров жертв. Ее можно было использовать для кражи данных с компьютеров жертв, перехвата банковских сеансов, кражи информации об устройстве, истории просмотров, сохраненных учетных данных и информации о кошельке виртуальной валюты.
DanaBot также имел возможность предоставлять полный удалённый доступ к компьютерам жертв, записывать нажатия клавиш и снимать видео, демонстрирующее активность пользователей на компьютерах жертв. Кроме того, DanaBot использовался в качестве начального средства заражения другими видами вредоносного ПО, в том числе программами-вымогателями. Вредоносная программа DanaBot заразила более 300 000 компьютеров по всему миру и нанесла ущерб, оцениваемый более чем в 50 миллионов долларов.
Администраторы DanaBot управляли второй версией ботнета, которая использовалась для заражения компьютеров в военных, дипломатических, правительственных и связанных с ними организациях. Эта версия ботнета записывала все взаимодействия с компьютером и отправляла украденные данные на другой сервер, отличный от сервера, ориентированного на мошенничество с помощью DanaBot. Этот вариант предположительно использовался для заражения дипломатов, сотрудников правоохранительных органов и военнослужащих в Северной Америке и Европе.
«Вредоносные программы, такие как DanaBot, наносят ущерб сотням тысяч жертв по всему миру, в том числе важным военным, дипломатическим и государственным организациям, и приводят к многомиллионным убыткам, — заявил прокурор Центрального округа Калифорнии Билл Эссайли. — Обвинения и действия, о которых мы объявили сегодня, демонстрируют нашу приверженность искоренению самых серьёзных угроз глобальной кибербезопасности и преследованию самых злонамеренных киберпреступников, где бы они ни находились».
«Объявленные сегодня принудительные меры, ставшие возможными благодаря прочным партнёрским отношениям между правоохранительными органами и представителями отрасли по всему миру, нанесли значительный ущерб группе киберпреступников, которые наживались на краже данных жертв и атаках на уязвимые сети», — заявил специальный агент Кеннет ДеЧеллис из Управления генерального инспектора Министерства обороны, Служба уголовных расследований Министерства обороны (DCIS), Кибернетическое полевое управление. «Вредоносная программа DanaBot представляла собой явную угрозу для Министерства обороны и наших партнёров. DCIS будет решительно защищать нашу инфраструктуру, персонал и интеллектуальную собственность».
«Сегодняшнее объявление представляет собой значительный шаг вперед в продолжающихся усилиях ФБР по разрушению и ликвидации киберпреступной экосистемы, которая наносит ущерб глобальной цифровой безопасности», — заявила специальный агент Ребекка Дэй из полевого офиса ФБР в Анкоридже. «Мы благодарны нашим отечественным и международным партнерам по правоохранительной деятельности за скоординированные усилия по привлечению киберпреступников к ответственности, где бы они ни действовали».
Обвинительное заключение — это всего лишь предположение. Все обвиняемые считаются невиновными до тех пор, пока их вина не будет доказана в суде с вероятностью, превышающей разумные сомнения.
В случае признания виновным Калинкину грозит максимальный срок в 72 года лишения свободы в федеральной тюрьме, а Степанову — максимальный срок в пять лет лишения свободы в федеральной тюрьме.
В рамках сегодняшней операции агенты Службы уголовных расследований Министерства обороны (DCIS) осуществили изъятие и блокировку серверов управления DanaBot, в том числе десятков виртуальных серверов, расположенных в Соединённых Штатах. Правительство США в настоящее время работает с партнёрами, включая фонд Shadowserver Foundation, чтобы уведомить жертв DanaBot и помочь устранить последствия заражения.
Эти действия правоохранительных органов были предприняты в рамках операции «Operation Endgame» — продолжающейся скоординированной работы международных правоохранительных органов, направленной на ликвидацию и судебное преследование киберпреступных организаций по всему миру.
Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team CYMRU и ZScaler оказали ценную помощь.
Расследованием деятельности DanaBot руководили региональное отделение ФБР в Анкоридже и Служба уголовных расследований Министерства обороны, которые тесно сотрудничали с Федеральным криминальным ведомством Германии (BKA), Национальной полицией Нидерландов и Федеральной полицией Австралии. Управление по международным делам Министерства юстиции оказало значительную помощь.
Помощник прокурора США Аарон Фрумкин из отдела по борьбе с киберпреступлениями и преступлениями в сфере интеллектуальной собственности ведёт эти дела. Помощник прокурора США Джеймс Э. Дочерман из отдела конфискации и возврата активов занимается делом о конфискации.
• Source: https://www.justice[.]gov/usao-cdca/media/1401356/dl?inline
• Source: https://www.justice[.]gov/usao-cdca/media/1401361/dl?inline
• Source: https://www.operation-endgame[.]com/
ARTEM ALEKSANDROVICH KALiNKiN
a.k.a. “Onix”
ALEKSANDR STEPANOV,
a.k.a "JimmBee,"
a.k.a "Clay Barton,"
a.k.a "Monster,"
DANIL KHALITOV,
a.k.a "Flawless,"
a.k.a "Dancho,"
FNU LNU,
a.k.a "Pin Plus,"
a.k.a "Pin,"
ALEKSEY EFREMOV,
a.k.a "Ahost,"
KAMIL SZTURGUL~WSKI,
a.k.a "RaZZputin,"
a.k.a "bank666,"
a.k.a "kgb666,"
IBRAHIM IDOWU,
a.k.a "daveedo,"
a.k.a "audrops,"
a.k.a "sostransfer,"
a.k.a "Ronald 22,"
a.k.a "Ronshop,"
ARTEM SHUBIN,
a.k.a "Krad,"
ALEKSEY KHUDYAKOV,
a.k.a "Bshayne,"
a.k.a "Moddixpb,"
a.k.a "BarboSpidor,"
FNU LNU,
a.k.a "Format,"
FNU LNU,
a.k.a "Goldcoin,"
FNU LNU,
a.k.a "Matrix8,"
FNU LNU,
a.k.a "HirO,"
FNU LNU,
a.k.a "Chopin,"
FNU LNU,
a.k.a "Benzz,"
FNU LNU,
a.k.a "Limp,"
FNU LNU,
a.k.a "Benzz,"
FNU LNU,
a.k.a "Limp,"