Министерство юстиции США заявило в четверг , что международная группа частных защитников и правоохранительных органов одержала очередную победу над основным пособником киберпреступности, инициировав скоординированные захваты и вывод из строя командных серверов DanaBot, что нарушило работу вредоносного ПО как услуги .
Федеральные чиновники также обнародовали обвинительное заключение большого жюри и уголовное дело, в котором обвиняются 16 человек в предполагаемой причастности к разработке и внедрению DanaBot. По словам исследователей угроз, вредоносная программа, изначально разработанная как банковский троян в 2018 году , многократно обновлялась и в конечном итоге использовалась для кражи информации и загрузки последующих вредоносных программ.
По данным Министерства юстиции США, базирующаяся в России киберпреступная организация, которая контролировала и использовала DanaBot, в конечном итоге заразила более 300 000 компьютеров по всему миру, что привело к мошенничеству и вымогательству, нанеся ущерб по меньшей мере в 50 миллионов долларов.
Успешное уничтожение DanaBot, ставшего частью глобальной бот-сети, стало второй громкой операцией правоохранительных органов по пресечению масштабной вредоносной операции за последние несколько дней. В среду правоохранительные органы и компании, занимающиеся кибербезопасностью, пресекли масштабную операцию по краже информации Lumma Stealer , в результате которой было заражено около 10 миллионов систем .
Задержания и предъявленные обвинения знаменуют собой всплеск активности правоохранительных органов по борьбе с киберпреступностью в рамках операции «Эндшпиль» — более масштабной и продолжающейся международной программы правоохранительных органов по ликвидации и судебному преследованию организаций киберпреступников.
Министерство юстиции США в четверг также обнародовало федеральное обвинительное заключение, в котором 48-летнему Рустаму Рафаилевичу Галлямову из Москвы (Россия) предъявлены обвинения в том, что он якобы руководил киберпреступной группировкой, ответственной за разработку и внедрение вредоносного ПО Qakbot, которое было пресечено международными правоохранительными органами в 2023 году . Власти заявили, что в ходе расследования у Галлямова было изъято более 24 миллионов долларов в криптовалюте.
Обратный отсчет на сайте операции «Эндшпиль» указывает на то, что в пятницу утром будут объявлены новые новости о борьбе с киберпреступностью.
Власти назвали имена двух из 16 обвиняемых в эксплуатации DanaBot: Александра Степанова, 39 лет, и Артёма Александровича Калинкина, 34 года, оба жители Новосибирска, Россия. Калинкин и Степанов не находятся под стражей и, предположительно, находятся в России, сообщило Министерство юстиции. У США с Россией нет договора об экстрадиции.
По словам экспертов, DanaBot включал в себя множество функций, позволяющих киберпреступникам перехватывать банковские сеансы и красть данные с зараженных компьютеров, включая учетные данные, информацию об устройстве, историю просмотров и информацию о криптовалютных кошельках. DanaBot также использовался для получения полного удалённого доступа к компьютерам жертв, чтобы записывать нажатия клавиш и видеозаписи действий пользователей.
Министерство юстиции США заявило, что вторая версия ботнета была нацелена на компьютеры, задействованные в военных, правительственных и дипломатических операциях. Эта версия была нацелена на военных, дипломатов и сотрудников правоохранительных органов в Северной Америке и Европе, отправляя украденные данные на другой сервер, нежели версия DanaBot, ориентированная на мошенничество, сообщили официальные лица.
Такое сочетание шпионажа и киберпреступности отличает DanaBot, которого CrowdStrike отслеживает как Scully Spider, от типичных финансово мотивированных операций, сообщили исследователи угроз из компании по кибербезопасности в своем сообщении в блоге в четверг .
«Хотя неясно, как использовались собранные данные, мы считаем, что это прямое использование криминальной инфраструктуры для сбора разведывательной информации доказывает, что операторы Scully Spider действовали в интересах российского правительства», — заявили в CrowdStrike.
Адам Мейерс, старший вице-президент по операциям по противодействию злоумышленникам в CrowdStrike, считает, что разоблачение связей и участия российского правительства в некоторых операциях DanaBot, вероятно, заставит российское правительство пересмотреть свою стратегию.
Исследователи угроз отслеживают потенциальные случаи, когда киберпреступность и шпионаж пересекаются, но доказательства, которыми поделились официальные лица в отношении DanaBot, убедительно подчеркивают степень непосредственной вовлеченности российского правительства.
«Похоже, российское правительство имело к нему доступ, управляло этим ботнетом и использовало его в шпионских целях», — заявил Майерс CyberScoop. «Это новый уровень сотрудничества и взаимосвязи, о котором, по-моему, ещё не было публичной информации».
Кеннет Дечеллис, специальный агент, возглавляющий Управление генерального инспектора Службы уголовных расследований Министерства обороны (DCIS) и Киберполя, заявил: «Объявленные сегодня меры принудительного характера, ставшие возможными благодаря прочному партнерству правоохранительных органов и отрасли по всему миру, пресекли деятельность крупной кибергруппы, наживавшейся на краже данных жертв и атаках на конфиденциальные сети. Вредоносное ПО DanaBot представляло собой явную угрозу для Министерства обороны и наших партнеров».
Расследованием деятельности DanaBot занимались отделение ФБР в Анкоридже и DCIS при поддержке федеральных полицейских управлений Германии, Нидерландов и Австралии. В расследовании и операции по обезвреживанию вредоносной программы также участвовали несколько компаний, специализирующихся на кибербезопасности, включая Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Team CYMRU и ZScaler.
Федеральные чиновники также обнародовали обвинительное заключение большого жюри и уголовное дело, в котором обвиняются 16 человек в предполагаемой причастности к разработке и внедрению DanaBot. По словам исследователей угроз, вредоносная программа, изначально разработанная как банковский троян в 2018 году , многократно обновлялась и в конечном итоге использовалась для кражи информации и загрузки последующих вредоносных программ.
По данным Министерства юстиции США, базирующаяся в России киберпреступная организация, которая контролировала и использовала DanaBot, в конечном итоге заразила более 300 000 компьютеров по всему миру, что привело к мошенничеству и вымогательству, нанеся ущерб по меньшей мере в 50 миллионов долларов.
Успешное уничтожение DanaBot, ставшего частью глобальной бот-сети, стало второй громкой операцией правоохранительных органов по пресечению масштабной вредоносной операции за последние несколько дней. В среду правоохранительные органы и компании, занимающиеся кибербезопасностью, пресекли масштабную операцию по краже информации Lumma Stealer , в результате которой было заражено около 10 миллионов систем .
Задержания и предъявленные обвинения знаменуют собой всплеск активности правоохранительных органов по борьбе с киберпреступностью в рамках операции «Эндшпиль» — более масштабной и продолжающейся международной программы правоохранительных органов по ликвидации и судебному преследованию организаций киберпреступников.
Министерство юстиции США в четверг также обнародовало федеральное обвинительное заключение, в котором 48-летнему Рустаму Рафаилевичу Галлямову из Москвы (Россия) предъявлены обвинения в том, что он якобы руководил киберпреступной группировкой, ответственной за разработку и внедрение вредоносного ПО Qakbot, которое было пресечено международными правоохранительными органами в 2023 году . Власти заявили, что в ходе расследования у Галлямова было изъято более 24 миллионов долларов в криптовалюте.
Обратный отсчет на сайте операции «Эндшпиль» указывает на то, что в пятницу утром будут объявлены новые новости о борьбе с киберпреступностью.
Власти назвали имена двух из 16 обвиняемых в эксплуатации DanaBot: Александра Степанова, 39 лет, и Артёма Александровича Калинкина, 34 года, оба жители Новосибирска, Россия. Калинкин и Степанов не находятся под стражей и, предположительно, находятся в России, сообщило Министерство юстиции. У США с Россией нет договора об экстрадиции.
По словам экспертов, DanaBot включал в себя множество функций, позволяющих киберпреступникам перехватывать банковские сеансы и красть данные с зараженных компьютеров, включая учетные данные, информацию об устройстве, историю просмотров и информацию о криптовалютных кошельках. DanaBot также использовался для получения полного удалённого доступа к компьютерам жертв, чтобы записывать нажатия клавиш и видеозаписи действий пользователей.
Министерство юстиции США заявило, что вторая версия ботнета была нацелена на компьютеры, задействованные в военных, правительственных и дипломатических операциях. Эта версия была нацелена на военных, дипломатов и сотрудников правоохранительных органов в Северной Америке и Европе, отправляя украденные данные на другой сервер, нежели версия DanaBot, ориентированная на мошенничество, сообщили официальные лица.
Такое сочетание шпионажа и киберпреступности отличает DanaBot, которого CrowdStrike отслеживает как Scully Spider, от типичных финансово мотивированных операций, сообщили исследователи угроз из компании по кибербезопасности в своем сообщении в блоге в четверг .
«Хотя неясно, как использовались собранные данные, мы считаем, что это прямое использование криминальной инфраструктуры для сбора разведывательной информации доказывает, что операторы Scully Spider действовали в интересах российского правительства», — заявили в CrowdStrike.
Адам Мейерс, старший вице-президент по операциям по противодействию злоумышленникам в CrowdStrike, считает, что разоблачение связей и участия российского правительства в некоторых операциях DanaBot, вероятно, заставит российское правительство пересмотреть свою стратегию.
Исследователи угроз отслеживают потенциальные случаи, когда киберпреступность и шпионаж пересекаются, но доказательства, которыми поделились официальные лица в отношении DanaBot, убедительно подчеркивают степень непосредственной вовлеченности российского правительства.
«Похоже, российское правительство имело к нему доступ, управляло этим ботнетом и использовало его в шпионских целях», — заявил Майерс CyberScoop. «Это новый уровень сотрудничества и взаимосвязи, о котором, по-моему, ещё не было публичной информации».
Кеннет Дечеллис, специальный агент, возглавляющий Управление генерального инспектора Службы уголовных расследований Министерства обороны (DCIS) и Киберполя, заявил: «Объявленные сегодня меры принудительного характера, ставшие возможными благодаря прочному партнерству правоохранительных органов и отрасли по всему миру, пресекли деятельность крупной кибергруппы, наживавшейся на краже данных жертв и атаках на конфиденциальные сети. Вредоносное ПО DanaBot представляло собой явную угрозу для Министерства обороны и наших партнеров».
Расследованием деятельности DanaBot занимались отделение ФБР в Анкоридже и DCIS при поддержке федеральных полицейских управлений Германии, Нидерландов и Австралии. В расследовании и операции по обезвреживанию вредоносной программы также участвовали несколько компаний, специализирующихся на кибербезопасности, включая Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Team CYMRU и ZScaler.
