Участник:Luntikoff77/Corkow: различия между версиями
AlexBond (обсуждение | вклад) м (AlexBond переименовал страницу Corkow в Участник:Luntikoff77/Corkow без оставления перенаправления: Неясна значимость статьи для проекта, единстве…) |
|
(нет различий)
|
Текущая версия от 00:12, 3 июня 2017
Corkow (от англ. corkow - затаивать, прятать, второе название Metel) - анонимная киберпреступная группа (хакерская группировка), активная с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был достаточно незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $ 250 млн. По состоянию на начало 2015 года, по данным Group-IB объем ущерба значительно вырос.
Деятельность
2011 год
Первое упоминание трояна Corkow (Metel).
2012 год
Системы телеметрии фиксировала резкие спады и подъемы в активности этой вредоносной программы с начала ее первого обнаружения. Так во второй половине 2012 г. наблюдался спад ее активности, после чего активность снова возросла. Возможно группа, распространявшая Corkow (Metel), была привлечена к уголовной ответственности и не могла осуществлять свою деятельность в этот период.
2013 год
Впервые панель управления, используемая Corkow (Metel), была обнаружена и проанализирована.
2014 год
Начиная с апреля 2014 года, бот-сеть на основе Corkow (Metel) стремительно растет. Работа этой бот-сети направлена на кражу денег из системы онлайн-банкинга и платежных систем. По состоянию на ноябрь 2014 года преступники заразили более 250 тысяч компьютеров, использующих Windows. 70% зараженных компьютеров находятся в России, 15% - в Украине. В целом, эта бот-сеть объединяет компьютеры из 86 стран. В течение 2 месяцев 2014 киберпреступники получили доступ к внутренним сетям 34 российских банков.По состоянию на ноябрь 2014 совокупный баланс скомпрометированных счетов клиентов превышал $ 250 млн.
2015 год
В феврале 2016 года Group-IB сообщила, что в феврале 2015 года произошел первый в мировой практике крупный инцидент, когда киберпреступники, используя троян Corkow (Metel), получили контроль над терминалом торговой системы для торгов на различных биржевых рынках, что привело к выставлению заявок на сумму более 400 млн долларов. Как говорится в отчете Group-IB, используя вредоносное программное обеспечение, хакер применил инструмент «доллар/рубль расчетами сегодня» для продажи и покупки валюты от имени банка, что вызвало серьезные скачки курса доллара. За 14 минут хакер добился аномальной волатильности, что позволило покупать доллар за 55 рублей, а продавать по 62 рубля. До инцидента трейдеры торговались в рыночном диапазоне 60 - 62 рубля за доллар. Эксперты Group-IB также сообщили, что в августе 2015 года произошел другой важный инцидент с использованием расчетной системы, объединяющей около 250 банков и позволяющей снимать средства с карт Visa и MasterCard по выгодным тарифам. Тогда через банкоматы одного из участников этой расчетной системы было выдано несколько сотен миллионов рублей, которые, как выяснилось позже, были результатом хакерской атаки с использованием все того же трояна Corkow (Metel).
Функционал трояна
Функциональность модулей Corkow (Metel):
Пропускает антивирусные решения, остается незамеченным при исполнении; Похищает ключи и пароли системы онлайн-банкинга на основе iBank2, IFOBS и SBRF; Похищает все онлайн-формы (в том числе формы авторизации) с помощью FG и модулей Pony; Мониторит весь текст, набранный при помощи клавиатуры; Шпионит за пользователяем; делает скриншоты и записывает видео; Устанавливает скрытый удаленный доступ к зараженному компьютеру; Может заменять отображаемое на веб-страницах.
Это позволяет киберпреступникам организовать целевые атаки и шпионить за деятельностью предприятий из их собственных внутренних сетей. Их главная цель состоит в том, чтобы украсть деньги клиентов финансовых учреждений, в первую очередь средства юридических лиц.
Ссылки
Russian Hackers Moved Currency Rate With Malware, Group-IB Says